Re: OT: Máquinas zombies
El Sunday 27 January 2008 20:46:19 JAP escribió: > Todo eso está "sin novedad en el frente"; junto con netstat es lo > primero que probé. > Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien > que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza > ahora para evitarlo, etcétera. > Es decir, alimentar la paranoia. Yo he tenido varios en máquinas preparadas para hacer de honeypot. Las máquinas zombies con linux existen, por supuesto que sí. Generalmente se nota cuando hay un tráfico desmesurado que antes no existía. Si es tu caso, revisa qué causa ese tráfico, echa un vistazo a fondo en directorios temporales, generalmente cuando te cuelan un rootkit ni se molestan en borrar ficheros. Si puedes, desvía todo el tráfico a otro puerto del switch para analizarlo, o bien si pasa a través de otra máquina tcpdump es tu amigo. Si tienes serias sospechas de alguna intrusión jamás uses las herramientas de la misma máquina porque probablemente las hayan cambiado. -- BOFH excuse #144: Too few computrons available. signature.asc Description: This is a digitally signed message part.
Re: OT: Máquinas zombies
El 27/01/08, Martín Peluso <[EMAIL PROTECTED]> escribió: > Nico wrote: > > JAP escribió: > >> Cristian Mitchell escribió: > >>> El 27/01/08, JAP <[EMAIL PROTECTED]> escribió: > La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se > convirtió en zombie? > >>> con pstree y top > >>> > >> Todo eso está "sin novedad en el frente"; junto con netstat es lo > >> primero que probé. > >> Estoy SEGURO que no está zombie, pero estoy queriendo saber de > >> alguien que haya tenido el problema, cómo se dio cuenta, qué hizo, > >> qué utiliza ahora para evitarlo, etcétera. > > > > Mas allá de si los end-user linuxeros somos o no un target para las > > botnet (;)), si alguien entró en tu máquina como root entonces la > > única forma de asegurarte que el equipo no se encuentra comprometido > > es desde otro; si una persona planea usar tu equipo como zombie, y > > hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree > > es en realidad un versión parcheada para que no liste los procesos que > > el atacante no quiera que se listen. Lo mismo con las demás utilidades > > de sistema. > > Lo que haría en tu caso, si realmente tenés dudas, es un backup y un > > "cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de > > /etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal, > > pero si lo que buscas es investigar entonces podrías snifear las > > conexiones con otro equipo, o usar un live cd para revisar los logs > > (posiblemente sin encontrar nada) y correr un md5 sobre los binarios > > del sistema para compararlos con otros seguros. No soy un experto en > > seguridad pero son las dos opciones que se me ocurren. > > > > > > Saludos! > > > > > Buenos días, el aporte que puedo hacer al hilo por mi experiencia en > este tema de la paranoia es el siguiente: > > Dando por hecha la suposición del amigo Nico sobre si alguien entró en > tu máquina como root y parcheó herramientas como netstat, pstree o > cualquier otra herramienta de administración, lo bueno sería que > (habiendo sido precavidos) hubiésemos hecho chequeos md5 de las > herramientas y directorios mas importantes de nuestro sistema (justo > después de la instalación para mayor seguridad), guardando los > resultados para cotejarlos luego en un supuesto caso como este contra > los resultados del nuevo chequeo md5 que haríamos a las herramientas > aparentemente modificadas. > > Obviamente el archivo de texto resultante lo deberíamos guardar en un > medio ajeno a la propia máquina por cuestiones de seguridad. > > Si los resultados de la comparación con el md5 actual de las > herramientas no coincidiesen, existen detectores de rootkits que podemos > utilizar para detectar esa clase de anomalías. La siguiente dirección > corresponde a check rootkit, el detector de rootkits mas popular, capaz > también de realizar chequeos sobre varios aspectos de la seguridad del > sistema, incluyendo la modificación de binarios del sistema: > > http://www.chkrootkit.org > > Creo que eso es todo lo que pudiera aconsejar. > > Saludos. > Martín > > > > > En mi caso que me paso. el problema fue una libreria que instale para opera. se ponia a prosesar como loca. si la maquina se te pone a prosesar a full en general tenes que olvidar la red. a menos que denotes una actividad inusual. en mi experiencia la paranoia para lo unico que sirve es para no encontrar el problema, es muy mala consegera, es tan comun el error humano, y mas en linux. los dos comandos que te puse en el mail anterior son para ver los prosesos de la maquina, y cuanta memoria se utiliza para los mismos. si no son demasiado el problema puede ser se swap o memoria -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente.
Re: OT: Máquinas zombies
Nico wrote: JAP escribió: Cristian Mitchell escribió: El 27/01/08, JAP <[EMAIL PROTECTED]> escribió: La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se convirtió en zombie? con pstree y top Todo eso está "sin novedad en el frente"; junto con netstat es lo primero que probé. Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza ahora para evitarlo, etcétera. Mas allá de si los end-user linuxeros somos o no un target para las botnet (;)), si alguien entró en tu máquina como root entonces la única forma de asegurarte que el equipo no se encuentra comprometido es desde otro; si una persona planea usar tu equipo como zombie, y hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree es en realidad un versión parcheada para que no liste los procesos que el atacante no quiera que se listen. Lo mismo con las demás utilidades de sistema. Lo que haría en tu caso, si realmente tenés dudas, es un backup y un "cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de /etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal, pero si lo que buscas es investigar entonces podrías snifear las conexiones con otro equipo, o usar un live cd para revisar los logs (posiblemente sin encontrar nada) y correr un md5 sobre los binarios del sistema para compararlos con otros seguros. No soy un experto en seguridad pero son las dos opciones que se me ocurren. Saludos! Buenos días, el aporte que puedo hacer al hilo por mi experiencia en este tema de la paranoia es el siguiente: Dando por hecha la suposición del amigo Nico sobre si alguien entró en tu máquina como root y parcheó herramientas como netstat, pstree o cualquier otra herramienta de administración, lo bueno sería que (habiendo sido precavidos) hubiésemos hecho chequeos md5 de las herramientas y directorios mas importantes de nuestro sistema (justo después de la instalación para mayor seguridad), guardando los resultados para cotejarlos luego en un supuesto caso como este contra los resultados del nuevo chequeo md5 que haríamos a las herramientas aparentemente modificadas. Obviamente el archivo de texto resultante lo deberíamos guardar en un medio ajeno a la propia máquina por cuestiones de seguridad. Si los resultados de la comparación con el md5 actual de las herramientas no coincidiesen, existen detectores de rootkits que podemos utilizar para detectar esa clase de anomalías. La siguiente dirección corresponde a check rootkit, el detector de rootkits mas popular, capaz también de realizar chequeos sobre varios aspectos de la seguridad del sistema, incluyendo la modificación de binarios del sistema: http://www.chkrootkit.org Creo que eso es todo lo que pudiera aconsejar. Saludos. Martín
Re: OT: Máquinas zombies
JAP escribió: Cristian Mitchell escribió: El 27/01/08, JAP <[EMAIL PROTECTED]> escribió: La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se convirtió en zombie? con pstree y top Todo eso está "sin novedad en el frente"; junto con netstat es lo primero que probé. Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza ahora para evitarlo, etcétera. Mas allá de si los end-user linuxeros somos o no un target para las botnet (;)), si alguien entró en tu máquina como root entonces la única forma de asegurarte que el equipo no se encuentra comprometido es desde otro; si una persona planea usar tu equipo como zombie, y hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree es en realidad un versión parcheada para que no liste los procesos que el atacante no quiera que se listen. Lo mismo con las demás utilidades de sistema. Lo que haría en tu caso, si realmente tenés dudas, es un backup y un "cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de /etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal, pero si lo que buscas es investigar entonces podrías snifear las conexiones con otro equipo, o usar un live cd para revisar los logs (posiblemente sin encontrar nada) y correr un md5 sobre los binarios del sistema para compararlos con otros seguros. No soy un experto en seguridad pero son las dos opciones que se me ocurren. Saludos! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: Máquinas zombies
On 27 ene, 14:50, JAP <[EMAIL PROTECTED]> wrote: > Cristian Mitchell escribió: > > > El 27/01/08, JAP <[EMAIL PROTECTED]> escribió: > > >> La presente pregunta es, si se quiere, sumamente estúpida, pero mucho se > >> le aclara al estúpido que le contestan. > >> Por tema que no viene al caso, hace un mes que mi computadora está > >> corriendo sin parar, cosa que nunca hice. > >> Estoy tras un cortafuego de un modem router convenientemente configurado. > >> Corro Debian "lenny" bien actualizado. > > >> La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se > >> convirtió en zombie? > > >> DUDO que lo sea, no veo nada raro en el tráfico de red ni sobre los > >> procesos de la máquina. > >> DUDO que lo sea, todo lo que san google dice es sobre windows. > >> Pero... ¿hay registros de zombies linux? ¿cómos se detectan? > > >> Es difícil vivir sin un poco de paranoia. > > >> Javier > > >> -- > >> To UNSUBSCRIBE, email to [EMAIL PROTECTED] > >> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > > con pstree y top > > Todo eso está "sin novedad en el frente"; junto con netstat es lo > primero que probé. > Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien > que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza > ahora para evitarlo, etcétera. > Es decir, alimentar la paranoia. > > En google no hay casi nada. > > Javier > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] igual yo, me sucedio lo mismo le pase. el rkhunter, revise logs, pero a veces cuando la hacen la hacen bueno seria tener configurado un tripwire, para despejar cualquier duda, y descartar otras cosas un tcpdump para ver conexiones sospechosas Bueno por lo que es yo, me baje el debian y lo volvi a instalar, si fuera un server ahi esta la cosa tomar todas las precauciones del caso Saludos Saludos
Re: OT: Máquinas zombies
Cristian Mitchell escribió: El 27/01/08, JAP <[EMAIL PROTECTED]> escribió: La presente pregunta es, si se quiere, sumamente estúpida, pero mucho se le aclara al estúpido que le contestan. Por tema que no viene al caso, hace un mes que mi computadora está corriendo sin parar, cosa que nunca hice. Estoy tras un cortafuego de un modem router convenientemente configurado. Corro Debian "lenny" bien actualizado. La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se convirtió en zombie? DUDO que lo sea, no veo nada raro en el tráfico de red ni sobre los procesos de la máquina. DUDO que lo sea, todo lo que san google dice es sobre windows. Pero... ¿hay registros de zombies linux? ¿cómos se detectan? Es difícil vivir sin un poco de paranoia. Javier -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] con pstree y top Todo eso está "sin novedad en el frente"; junto con netstat es lo primero que probé. Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza ahora para evitarlo, etcétera. Es decir, alimentar la paranoia. En google no hay casi nada. Javier -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OT: Máquinas zombies
El 27/01/08, JAP <[EMAIL PROTECTED]> escribió: > > La presente pregunta es, si se quiere, sumamente estúpida, pero mucho se > le aclara al estúpido que le contestan. > Por tema que no viene al caso, hace un mes que mi computadora está > corriendo sin parar, cosa que nunca hice. > Estoy tras un cortafuego de un modem router convenientemente configurado. > Corro Debian "lenny" bien actualizado. > > La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se > convirtió en zombie? > > DUDO que lo sea, no veo nada raro en el tráfico de red ni sobre los > procesos de la máquina. > DUDO que lo sea, todo lo que san google dice es sobre windows. > Pero... ¿hay registros de zombies linux? ¿cómos se detectan? > > Es difícil vivir sin un poco de paranoia. > > Javier > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > con pstree y top -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente.
OT: Máquinas zombies
La presente pregunta es, si se quiere, sumamente estúpida, pero mucho se le aclara al estúpido que le contestan. Por tema que no viene al caso, hace un mes que mi computadora está corriendo sin parar, cosa que nunca hice. Estoy tras un cortafuego de un modem router convenientemente configurado. Corro Debian "lenny" bien actualizado. La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se convirtió en zombie? DUDO que lo sea, no veo nada raro en el tráfico de red ni sobre los procesos de la máquina. DUDO que lo sea, todo lo que san google dice es sobre windows. Pero... ¿hay registros de zombies linux? ¿cómos se detectan? Es difícil vivir sin un poco de paranoia. Javier -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]