RE: [Ayuda] Linux bloqueado

To: "Antonio Tellez Flores" <atellezf en yahoo com mx>, "Vicente Guerra" <vic en guerra com mx>
Subject: RE: [Ayuda] Linux bloqueado
From: "Ramon Resendiz Cortez" <resendiz ramon en principal com mx>
Date: Wed Nov 10 11:27:02 2004
Cc: <ayuda en linux org mx>
Importance: Normal
In-reply-to: <1100063018.3838.22.camel@localhost>
List-archive: <https://mail.linux.org.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Reply-to: <resendiz ramon en principal com mx>
Sender: ayuda-admin en linux org mx

Bueno si todo esta bien (aparentemente), bueno pues reinicia el servidor,
asegurate de que todos los servicios estan corriendo, elimina el servicio de
telnet, y asegurate de que solo tu ip (si es fija) es la unica que se pueda
conectar atravez de ssh... para evitar que si alguien esta jugando con tu
maquina pueda conectarse a travez de ssh (ya elimiando telnet te quitas un
peso de encima).... esto tan solo para darte un poco mas de calma..

Ahora por lo que comentas del "ls" tal vez el comando este corrupto, existe
el comando "dir -a" (que es lo mismo que ls pero al estilo de msdos)
ejecutalo a ver que te lanza... no creo que el fs esta corrupto, si fuera
asi no te dejaria correo linux por que no podria leer las configuraciones de
los demonios, servicios, etc...

Tambien lo que podrias hacer es crear un boot disk para que puedas checar el
fs con fsck para revisar que el fs este integro, tal vez tengas algun
problemita por ahi..

Checa y recheca los logs que tengas siempre hay alguna pista que nos pueda
ser util

Ya de plano si quieres volver a tener tu sistema limbio y libre de posibles
rootkits o worms, pues podrias reinstalar slackware o cualquier otra
distro.... (te diria cual para mi gusto, pero neh pa' que quieres que al
rato se arme un alboroto con mis colegas listeros de la mejor distro como ya
paso hace algunos dias jejej)


Salu2...


-----Original Message-----
From: ayuda-admin en linux org mx [mailto:ayuda-admin en linux org mx]On
Behalf Of Antonio Tellez Flores
Sent: Tuesday, November 09, 2004 11:04 PM
To: Vicente Guerra
Cc: ayuda en linux org mx
Subject: Re: [Ayuda] Linux bloqueado


Saludos

>     Es un programa que se conecta a los juegos de Yahoo! y organiza
> torneos ( http://w3.robot-td.com/robot.html ) . Está en xHarbour, y no
> sé qué tan frecuente haga la "recolección de basura". Pero estuvo
> funcionando bien por semanas, sin problemas... yo lo reinicié
> "manualmente" hace relativamente poco, por lo que no creo que la
> limpieza de la memoria sea el problema.

Te lo decia porque a mi me paso una vez algo similar cuando estaba
probando un demonio. Lo deje toda la noche haciendo pruebas intensivas y
en la mañana estaba mi servidor como el tuyo. Después de un análisis
forence descubrí que al terminarse la memoria se habían muerto varios
servicios, la primera vez fueron unos y después otros distintos.

Revisa a fondo tus logs, si alguién entro o los borro o todavía puede
haber indicios de que entro aunque sean sutiles. Usa el comando find
puede ayudarte a buscar archivos que se hayan modificado o creado y esto
te dará pistas sobre que le paso a tu máquina. Con "man find" puedes ver
todas sus opciones. Sé que pueden esconderse de todas formas muy bien,
pero la mayoría no lo hace.

No te conviene tener telnet instalado. Nada mas usa ssh. Si usas ftp que
sea anonimo y de solo lectura, pero si requieres más mejor no lo
instales y usa una alternativa.

>     Aparentemente, debería tener suficiente espacio.

para ver el espacio usa "df -mh". Revisa el .bash_history del root. Lo
más raro es lo del error de input/output. revisa los mensajes del
kernel, a lo mejor te ayudan a averiguar que sucedio.

Aunque por momentos y sobre todo por lo del telnet pareciera que te
creakearon la máquina algo me dice que no fúe así y es otra cosa. Si
alguién entro a tu máquina hay varias cosas que no cuadran. Si la usan
para divertirse, no veo el caso de apagarte los servicios y que no
puedan entrar ellos tampoco, es mejor andar husmenando y no dejar
huellas. Si fué para poner un servidor de spam o pornografía pues
tampoco apagarían los servicios y estarían funcionando tratando de no
dejar huellas. Si fué para llevarse información pues con más razón no
dejan huella y te dejan la máquina como la encontraron. También puede
que sea sólo por molestar pero en ese caso para que apagar los servicios
incluso los que son para poder entrar, sería más facil borrarte los
archivos de configuración o las cuentas o algo asi... tal vez cambiarte
los passwords.... en fin... sólo es especulación.

Si encuentras algo por favor avisa a la lista, a lo mejor nos ayuda a
proteger nuestros servidores.

Hasta la vista.
--
Antonio Téllez Flores
Ciencias de la Computación
Facultad de Ciencias - UNAM
Home Page: http://ada.fciencias.unam.mx/~atellez



_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista:
http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Mensaje(s) a continuación:
- RE: [Ayuda] Linux bloqueado
  - De: Vicente Guerra

Referencias:
- Re: [Ayuda] Linux bloqueado
  - De: Antonio Tellez Flores

Previo por Fecha: RE: [Ayuda] Linux bloqueado
Siguiente por Fecha: RE: [Ayuda] Linux bloqueado
Previo por Hilo: Re: [Ayuda] Linux bloqueado
Siguiente por Hilo: RE: [Ayuda] Linux bloqueado

[Hilos de Discusión] [Fecha] [Tema] [Autor]