El Lunes, 29 Abril 2002, Matias <[EMAIL PROTECTED]> escribi�:

>Hola:
>       Me parece que me estan atacando (y que ya tomaron control del qmail).
>Instal� el netsaint para que me avise en estos casos, y los mails que 
>me mandaba eran algunos errores (que la mayor�a eran mios o de la 
gente 
>con la cual estoy estudiando). Pero hace 4 horas empec� a recibir 
mails 
>de 8 megas (solo texto); en estos mails s�lo figuran cosas del qmail.
>       Aunque ya pare el qmail, me fij� en los mensajes que estan en cola, y 
>son aproximadamente 50000, pertenecientes (los que me fij�) a una 
lista 
>de pornograf�a.

Yo dir�a que, efectivamente, alguien ha tomado el control de tu equipo 
para
enviar SPAM.

>[...]
>* �Qu� me aconsejan hacer en casos as�? Yo opt� por dar de baja todos 
>los servicios que no uso, y dejar los que necesito (ssh y el squid 
-que 
>uso para que los usuarios internos tengan acceso a internet-)

Hay tres tareas que debes hacer:
   - Limpiar la cola de qmail y dem�s. En eso no te puedo ayudar.
   - Eliminar todo rastro de usuarios 'ilegales' de tu equipo usando:
        - chkrootkit (Te detecta los rootkit m�s habituales)
        - Mirando por ti mismo el fichero /etc/passwd  y el cron.
        - Lo ideal ser�a reinstalar el equipo completo, pero si no 
          puedes permitirlo al menos reinstala todos los paquetes base.
        - Usa log-analysis para intentar averiguar por donde se te han
          colado.
        - Cruza los dedos.
        - Nota: mientras estes haciendo estas operaciones desconecta
          todos los servicios.
   - Protegerte para el futuro:
        - Montar un firewall con iptables o ipchains (el que te 
          corresponda por tu kernel). Yo te puedo pasar mi script 
          de iptables, pero s�lo te servir�a como base para montar 
          el tuyo, ya que mis necesidades son distintas: mi ordenador 
          es s�lo desktop, no da servicio a nadie.
        - Por supuesto desactivar todos los servicios desactivables.
        - Montar los servicios que necesites en chroot, de esta manera
          el da�o que puede hacer un intruso estar� limitado y podr�s
          borrar y restaurar la jaula chroot con rapidez.

Mucha suerte,
--
Luis Arocha "Data"
Islas Canarias, Espa�a






-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a