Re: Pregunta poco frecuente sobre apt-get y dkpg
El Wed, 08 Oct 2003 12:15:39 -0400 Leonardo Soto <[EMAIL PROTECTED]> escribió: > El mié, 08-10-2003 a las 05:30, Matias escribió: > > [...] > > Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo > > que está fallando "alevosamente" y por más reinstalaciones que > > hagas, siempre caerás en la misma situación. Si yo estuviese en tu > > lugar, y no tengo ningún servicio exclusivo para linux, intentaría > > cambiarme hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc) > > No creo que sea _la_ solucion (hey!, cambiar de OS no es > precisamente facil), si tiene rootkits muy a menudo y no es una > maquina que pudiera generar mucho interes de crackers (para que se > tomaran la molestia de usar algun "0-day" contra ella), es porque el > sistema no ha sido parchado cuando corresponde y/o corre servicios > inseguros. > > EMHO, si es que se puede, mejor que (una vez instalado todo y con > parches) haga logueo remoto en una maquina segura y deje a snort > husmeando por la interfaz a internet. Disculpad por haber dado por sobreentendidas algunas cosas que pueden no ser tanto. Descontaba el hecho que algún IDS ya estaba funcionando. Yo mencionaba cambiar de OS, por que usualmente los rootkits se basan mucho en el OS que estés ejecutando. Y si les pongo Solaris (por decir algún OS), les estoy molestando un poco y haré que me den un poco más de tiempo para ver una solución real. Creo que esto sería algo útil (si no es que el que inició el hilo ya realizó todo esto): * Tener el sistema actualizado (parches de seguridad) * Endurecer el password de root y cambiarlo cada tanto (unos tres o cuatro días) * Chequiar la integridad de los ejecutables * Mantener los mínimos servicios corriendo * Algún IDS (como Snort) que envíe los logs hacia una cuenta externa. * Enviar copia de los logs hacia una cuenta externa (como logcheck) * Tratar de darle a los usuarios del sistema una shell restringida, y configurar todo para que no puedan salir fácilmente de su HOME (estuve leyendo que esto es posible, pero todavía no se muy bien como). * Activar el grupo Wheel * Crearse un usuario con con gran cantidad de permisos (un root alternativo, el tan conocido usuario "toor") y tratar de utilizar este usuario para la administración. * Tener instalado solamente lo que se utiliza realmente, todas las cosas que no se utilizan a menudo borrarlas (cuantos menos binarios raros se tenga uno puede tener más en mente de que es lo que puede estar mal) * Tener varias reglas en el Firewall para tratar de evitar/retrasar los escaneos de puertos, tirar todo lo que sea ICMP (al menos que sea necesario tenerlo). * Si no hay ningún usuario que tenga acceso físico a la máquina, intentar sacar el SUID de mount y programas similares (chmod(1)) * Ver si con el strace se nota algo distinto. Creo que hay muchas otras cosas que se podrían hacer. Ah, por cierto, una pregunta a quien inició el hilo: ¿estáis ejecutando algún server de algún juego? Digo esto porque he visto que las máquinas que ponen para server de juegos son "brutalmente" atacadas por todas partes, y muchas veces aprovechan las mismas vulnerabilidades de estos "servers". -- Atentamente, yo Nunca hay libertad en una invasión http://nnss.d7.be http://savannah.gnu.org/projects/tasklist Con $ 1867 $ spams desde el 2003-09-22 12:00:00 GMT 000
Re: Pregunta poco frecuente sobre apt-get y dkpg
Holas :-) . Pues sí, si que ha resultado de ayuda, muchas gracias :-) Un amigo (lo considero así después de las molestias que se ha tomado), me ha escrito una opción que considero interesante, lo pongo aquí porque todo lo empezé yo, y vosotros me direis :-) Con dpkg --get-selections me devuelve todos los paquetes y su estado: install, deinstall, etc. Así que poniendo dpkg --get-selections|cut -f1 tengo el listado de nombres de paquetes :-))) El mié, 08-10-2003 a las 15:39, Miguel Rodríguez Penabad escribió: > Pues mirando mirando... en man dpkg, claro :) > si haces > `COLUMNS=300 dpkg -l | grep ^ii | cut -d' ' -f3` > no corta nada, así que puede servir de ayuda > (COLUMNS indica las columnas que usa dpkg en su salida) > > Saludos > Miguel > > On Wednesday 08 October 2003 16:42, Rafael F. wrote: > > Hola ;-) > > > > En principio me viene de maravilla, pero tienes razón con los nombre > > largos :-(. > > > > > -- > > Miguel Rodriguez Penabad [EMAIL PROTECTED] > Laboratorio de Bases de Datos http://emilia.dc.fi.udc.es/labBD > Facultade de Informática Universidade da Coruña (Spain) > >
Re: Pregunta poco frecuente sobre apt-get y dkpg
Pues mirando mirando... en man dpkg, claro :) si haces `COLUMNS=300 dpkg -l | grep ^ii | cut -d' ' -f3` no corta nada, así que puede servir de ayuda (COLUMNS indica las columnas que usa dpkg en su salida) Saludos Miguel On Wednesday 08 October 2003 16:42, Rafael F. wrote: > Hola ;-) > > En principio me viene de maravilla, pero tienes razón con los nombre > largos :-(. > -- Miguel Rodriguez Penabad[EMAIL PROTECTED] Laboratorio de Bases de Datos http://emilia.dc.fi.udc.es/labBD Facultade de InformáticaUniversidade da Coruña (Spain)
Re: Pregunta poco frecuente sobre apt-get y dkpg
Hola ;-) En principio me viene de maravilla, pero tienes razón con los nombre largos :-(. El mié, 08-10-2003 a las 10:25, Faro escribió: > ... y entonces Rafael F. Rodríguez escribió: > > > ¿Como podría instalar con apt-get install --reinstall > encontrados con dpkg -l>? > > Prueba con: > > apt-get install --reinstall `dpkg -l|grep ^ii | cut -d' ' -f3` > > La idea es esa, pero ojito con los nombres de paquetes largos que > salen cortados. Se que habia un truco para evitar esto, pero no lo > recuerdo. :( > > > La historia reinstalar todos los paquetes sin necesidad de estar > > físicamente en el ordenador, sino con una conección ssh. > > Eso da igual ¿no? > > PD: ¿Podrías explicar brevemente el objetivo de todo esto? ;-)
Re: Pregunta poco frecuente sobre apt-get y dkpg
Hola :-) . Muchas gracias por tu ayuda, he ejecutado sólo la parte del dpkg y obtengo los nombre que necesito así que al apt que te crio. El mié, 08-10-2003 a las 11:10, Antoni Bella Perez escribió: > A Dimecres 08 Octubre 2003 09:21, Rafael F. Rodríguez va escriure: > > Hola Lista. > > > > ¿Como podría instalar con apt-get install --reinstall > encontrados con dpkg -l>? > > > > La historia reinstalar todos los paquetes sin necesidad de estar > > físicamente en el ordenador, sino con una conección ssh. > > > > Gracias. > > Hola > > En lo de ssh no tengo experiencia pero lo que pides es algo como esto: > > apt-get -u --reinstall --fix-missing install $(dpkg -S /usr/share/doc | cut > -d: -f1 | tr ', ' '\n' | sort -u) > > La línea la he modificado yo al uso pero es un consejo extraido desde un > paquete debian que ahora mismo no recuerdo. Si tienes instalados paquetes que > no están en el sources list, ejecuta el cacho de dpkg y redirige la salida a > un fichero, lo editas (quitando esos paquetes) y luego pruebas con $(cat > ). > > Si necesitas un buen editor en modo consola prueba con «nano». > > Toni > -- > > Sort > > Antoni Bella Perez | > # http://www.terra.es/personal7/bella5/home.htm > ## Correu-e : ##, > ## ID de Jabber: vasten AT jabber DOT org ## i > col·laborador dels projectes: > Debian en català: http://www.debian.org/index.ca.html > KDE en català: http://i18n.kde.org/stats/gui/HEAD/ca/ > T.P: http://www2.iro.umontreal.ca/~pinard/po/registry.cgi?team=ca > > - >
Re: Pregunta poco frecuente sobre apt-get y dkpg
Holas ;-) No hombre no, no me entiendas mal, es por supuesto que tengo que enterarme como diablos se ha metido eso en el sistema, evidentemente, ha tenido que ser por un problema en la configuración de los iptables o de un fallo de seguridad de los servicios que doy al exterior. Pedí esta información para poder quitarme este rootkit, pero por supuesto en ningún momento he pensado esto como solución, y si he dado esa impresión, pido mil disculpas. El mié, 08-10-2003 a las 11:30, Matias escribió: > El Wed, 08 Oct 2003 11:06:03 +0200 > "Rafael F." Rodríguez <[EMAIL PROTECTED]> escribió: > > > Hola ;-) . > > > > Si claro, lo que intento es encontrar algún posible mecanismo > > por el > > cual pueda reinstalar todos los paquetes en el caso de ser pacheados > > por algún rootkit o troyano. > > > > Los rootkit se encargan en sustituir los comandos más comunes, > > tales > > como ls, su, sudo, etc , en tal caso si reinstalo todos los > > paquetes de una sentada estos comando son re-sustituidos y por lo > > tango el rootkit desaparecerá. > > > > No sé si puede ser la solución definitiva pero hasta ahora me > > está > > funcionando, eso sí, teclando el apt-get install --reinstall a mano > > por cada uno de los paquetes :-( . > > > > > > Hola: > Estas combatiendo el hambre y la pobreza, > matando a los pobres y alimentando con éstos a los > hambrientos > > Luego de una reinstalación, deberías sacar un snapshot de la > integridad de los archivos recién instalados con algún programa (creo > que había uno así en Woody) y comparar cada cierto tiempo. > > Y lo más importante, intentar ver como entro el rootkit en tu > máquina, y si es por algún usuario, tratar de darle los menos recursos > posibles (o rechazarlo e intentar tener acceso físico a esta persona > para ...). Fíjate si con el comando strace notas algo distinto a > lo normal, y tratar de tomar todas las medidas "paranóicas" que puedas > (desde descartar los icmp, hasta capar el ssh para que solo te > responda a tu IP). > > Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo > que está fallando "alevosamente" y por más reinstalaciones que hagas, > siempre caerás en la misma situación. Si yo estuviese en tu lugar, y > no tengo ningún servicio exclusivo para linux, intentaría cambiarme > hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc) para dificultarle > un poco las cosas al atacante e intentar ver si el tipo de ataque es > exclusivo para Linux o para algún servicio en especial. > > > > > > > > > > -- > Atentamente, yo > Nunca hay libertad en una invasión > http://nnss.d7.be > http://savannah.gnu.org/projects/tasklist > Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000 >
Re: Pregunta poco frecuente sobre apt-get y dkpg
A Dimecres 08 Octubre 2003 09:21, Rafael F. Rodríguez va escriure: > Hola Lista. > > ¿Como podría instalar con apt-get install --reinstall encontrados con dpkg -l>? > > La historia reinstalar todos los paquetes sin necesidad de estar > físicamente en el ordenador, sino con una conección ssh. > > Gracias. Hola En lo de ssh no tengo experiencia pero lo que pides es algo como esto: apt-get -u --reinstall --fix-missing install $(dpkg -S /usr/share/doc | cut -d: -f1 | tr ', ' '\n' | sort -u) La línea la he modificado yo al uso pero es un consejo extraido desde un paquete debian que ahora mismo no recuerdo. Si tienes instalados paquetes que no están en el sources list, ejecuta el cacho de dpkg y redirige la salida a un fichero, lo editas (quitando esos paquetes) y luego pruebas con $(cat ). Si necesitas un buen editor en modo consola prueba con «nano». Toni -- Sort Antoni Bella Perez | # http://www.terra.es/personal7/bella5/home.htm ## Correu-e :##, ## ID de Jabber: vasten AT jabber DOT org ## i col·laborador dels projectes: Debian en català: http://www.debian.org/index.ca.html KDE en català: http://i18n.kde.org/stats/gui/HEAD/ca/ T.P: http://www2.iro.umontreal.ca/~pinard/po/registry.cgi?team=ca -
Re: Pregunta poco frecuente sobre apt-get y dkpg
El Wed, 08 Oct 2003 11:06:03 +0200 "Rafael F." Rodríguez <[EMAIL PROTECTED]> escribió: > Hola ;-) . > > Si claro, lo que intento es encontrar algún posible mecanismo > por el > cual pueda reinstalar todos los paquetes en el caso de ser pacheados > por algún rootkit o troyano. > > Los rootkit se encargan en sustituir los comandos más comunes, > tales > como ls, su, sudo, etc , en tal caso si reinstalo todos los > paquetes de una sentada estos comando son re-sustituidos y por lo > tango el rootkit desaparecerá. > > No sé si puede ser la solución definitiva pero hasta ahora me > está > funcionando, eso sí, teclando el apt-get install --reinstall a mano > por cada uno de los paquetes :-( . > > Hola: Estas combatiendo el hambre y la pobreza, matando a los pobres y alimentando con éstos a los hambrientos Luego de una reinstalación, deberías sacar un snapshot de la integridad de los archivos recién instalados con algún programa (creo que había uno así en Woody) y comparar cada cierto tiempo. Y lo más importante, intentar ver como entro el rootkit en tu máquina, y si es por algún usuario, tratar de darle los menos recursos posibles (o rechazarlo e intentar tener acceso físico a esta persona para ...). Fíjate si con el comando strace notas algo distinto a lo normal, y tratar de tomar todas las medidas "paranóicas" que puedas (desde descartar los icmp, hasta capar el ssh para que solo te responda a tu IP). Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo que está fallando "alevosamente" y por más reinstalaciones que hagas, siempre caerás en la misma situación. Si yo estuviese en tu lugar, y no tengo ningún servicio exclusivo para linux, intentaría cambiarme hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc) para dificultarle un poco las cosas al atacante e intentar ver si el tipo de ataque es exclusivo para Linux o para algún servicio en especial. -- Atentamente, yo Nunca hay libertad en una invasión http://nnss.d7.be http://savannah.gnu.org/projects/tasklist Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000
Re: Pregunta poco frecuente sobre apt-get y dkpg
Hola ;-) . Si claro, lo que intento es encontrar algún posible mecanismo por el cual pueda reinstalar todos los paquetes en el caso de ser pacheados por algún rootkit o troyano. Los rootkit se encargan en sustituir los comandos más comunes, tales como ls, su, sudo, etc , en tal caso si reinstalo todos los paquetes de una sentada estos comando son re-sustituidos y por lo tango el rootkit desaparecerá. No sé si puede ser la solución definitiva pero hasta ahora me está funcionando, eso sí, teclando el apt-get install --reinstall a mano por cada uno de los paquetes :-( . El mié, 08-10-2003 a las 10:25, Faro escribió: > ... y entonces Rafael F. Rodríguez escribió: > > > ¿Como podría instalar con apt-get install --reinstall > encontrados con dpkg -l>? > > Prueba con: > > apt-get install --reinstall `dpkg -l|grep ^ii | cut -d' ' -f3` > > La idea es esa, pero ojito con los nombres de paquetes largos que > salen cortados. Se que habia un truco para evitar esto, pero no lo > recuerdo. :( > > > La historia reinstalar todos los paquetes sin necesidad de estar > > físicamente en el ordenador, sino con una conección ssh. > > Eso da igual ¿no? > > PD: ¿Podrías explicar brevemente el objetivo de todo esto? ;-)
Re: Pregunta poco frecuente sobre apt-get y dkpg
... y entonces Rafael F. Rodríguez escribió: > ¿Como podría instalar con apt-get install --reinstall encontrados con dpkg -l>? Prueba con: apt-get install --reinstall `dpkg -l|grep ^ii | cut -d' ' -f3` La idea es esa, pero ojito con los nombres de paquetes largos que salen cortados. Se que habia un truco para evitar esto, pero no lo recuerdo. :( > La historia reinstalar todos los paquetes sin necesidad de estar > físicamente en el ordenador, sino con una conección ssh. Eso da igual ¿no? PD: ¿Podrías explicar brevemente el objetivo de todo esto? ;-) -- BOFH excuse #171: NOTICE: alloc: /dev/null: filesystem full Mail : faro at escomposlinux . org Jabber: sneb at jabber . org Debian GNU/Linux - Usuario Linux #162541 http://www.escomposlinux.org/faro pgp7PyneZd1FI.pgp Description: PGP signature
Pregunta poco frecuente sobre apt-get y dkpg
Hola Lista. ¿Como podría instalar con apt-get install --reinstall ? La historia reinstalar todos los paquetes sin necesidad de estar físicamente en el ordenador, sino con una conección ssh. Gracias.