[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]A ver:
> yo que tu lo primero que checaria es quien esta conectado a mi servidor:
> who, finger (si lo tienes habilitado localmente)
> ver quien se ha conectado ultimamente lastlog o last....
>> Sólo veo mis conexiones.
Aquí es importante remarcar que cuando un equipo está comprometido NO PUEDES
CONFIAR EN NINGUNA de las herramientas que están instaladas. Aunque lastlog
o last te digan que no hay nada, puede que te estén mintiendo. Algunos
crackers compilan módulos e incluso kernels sustitutos que no permiten que
ciertas alarmas se activen. Ya que leí que no tienes acceso físico a la
máquina, deberías reemplazar a mano algunas de estas herramientas, como ls,
grep, who, w, last, lastlog y demás. Si tienes los binarios originales de la
distro simplemente los subes y los reemplazas, sólo para estar seguros.
> ahora bien por lo que dices del "ls" al parecer no puede accesar al fs
para
> darte los que pides.... jejej que se me hace que tienes un rootkit
instalado
> por que dices que tiene todo por default ojo con eso....
El error era de input/output... me pasó con "ls", "mc", y "shutdown".
Cuando se instalan rootkits, estas herramientas están hackeadas para que no
te muestren determinados archivos, procesos o demonios que si están
instaladas. Como te repito, lo mejor es que reinstales dichos archivos desde
una fuente segura. NO PUEDES confiar en nada, recuerda. Incluso sería bueno
que recompilaras un kernel y reinicies desde un kernel en el que tú confies.
> antes que nada checa tus conexiones de red netstat -nat
Aparentemente, las conexiones correctas.
...idem...
saludos.