[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]A ver: > yo que tu lo primero que checaria es quien esta conectado a mi servidor: > who, finger (si lo tienes habilitado localmente) > ver quien se ha conectado ultimamente lastlog o last.... >> Sólo veo mis conexiones. Aquí es importante remarcar que cuando un equipo está comprometido NO PUEDES CONFIAR EN NINGUNA de las herramientas que están instaladas. Aunque lastlog o last te digan que no hay nada, puede que te estén mintiendo. Algunos crackers compilan módulos e incluso kernels sustitutos que no permiten que ciertas alarmas se activen. Ya que leí que no tienes acceso físico a la máquina, deberías reemplazar a mano algunas de estas herramientas, como ls, grep, who, w, last, lastlog y demás. Si tienes los binarios originales de la distro simplemente los subes y los reemplazas, sólo para estar seguros. > ahora bien por lo que dices del "ls" al parecer no puede accesar al fs para > darte los que pides.... jejej que se me hace que tienes un rootkit instalado > por que dices que tiene todo por default ojo con eso.... El error era de input/output... me pasó con "ls", "mc", y "shutdown". Cuando se instalan rootkits, estas herramientas están hackeadas para que no te muestren determinados archivos, procesos o demonios que si están instaladas. Como te repito, lo mejor es que reinstales dichos archivos desde una fuente segura. NO PUEDES confiar en nada, recuerda. Incluso sería bueno que recompilaras un kernel y reinicies desde un kernel en el que tú confies. > antes que nada checa tus conexiones de red netstat -nat Aparentemente, las conexiones correctas. ...idem... saludos.