El s�b, 27-07-2002 a las 09:28, Antonio Castro escribi�:
> On 26 Jul 2002, Ruben Porras wrote:
>
> > Pues eso
> > $ who
> > $
> >
> > � Como es posible? no se supone que tiene que mostrar al menos un
> > usuario.
>
> Por si las moscas desconecta tu m�quina de la red y comprueba que
> tu 'who' no ha sido sustituido por otro (troyano) y que tu kernel
> continua siendo el que debe ser.
Lo he recompilado hace un par de d�as, as� que debe de estar en orden.
No te fi�s demasiado de los logs,
> tambien pueden estar tocados.
>
> Si est�s seguro que de que no te han atacado no se que otra explicaci�n
> puede haber pero tendr�s que mirar muy bi�n.
La verdad es que no estoy seguro de nada.
Lo de mirar los logs no creo que sirva de nada pues el fallo se remonta
a m�s de un mes y hasta hace 4 d�as no me he preocupado por la seguridad
en absoluto. De hecho el motivo de que pregunte es que estoy preocupado
por que alguien haya entrado en mi maquina. (De todas formas tampoco se
muy bien que debo mirar en los logs)
Le� harden-doc y he cerrado todos los puertos que ten�a abiertos (que
eran como 12, apache, webmin, cups, smtp, todos los del inetd...)
Luego comprobe los archivos sin propietario o grupo, nada raro,
ejecutables en /tmp, nada raro.
instal� el paquete chkrootkit y lo ejecut�, no encontr� nada.
Luego comprob� los programas con el SUID/SGID, son los siguientes
/usr/bin/wall
/usr/bin/newgrp
/usr/bin/chage
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/expiry
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/at
/usr/bin/write
/usr/bin/crontab
/usr/bin/dotlockfile
/usr/bin/mutt_dotlock
/usr/bin/gpg
/usr/bin/mtr
/usr/bin/procmail
/usr/bin/lockfile
/usr/bin/kdesud
/usr/bin/cdda2wav
/usr/bin/cdrecord
/usr/bin/readcd
/usr/bin/kcheckpass
/usr/bin/sudo
/usr/bin/konsole_grantpty
/usr/bin/mail-lock
/usr/bin/traceroute
/usr/bin/xscreensaver
/usr/bin/splaymidi
/usr/sbin/exim
/usr/sbin/pppd
/usr/sbin/gnome-pty-helper
/usr/sbin/camel-lock-helper
/usr/games/gnome-freecell
/usr/games/gnomine
/usr/games/sol
/usr/games/gnome-stones
/usr/games/mahjongg
/usr/games/same-gnome
/usr/games/gnibbles
/usr/games/gnometris
/usr/games/gnotravex
/usr/games/ctali
/usr/games/gtali
/usr/games/gnobots2
/usr/games/iagno
/usr/games/glines
/usr/games/gataxx
/usr/games/gnome-xbill
/usr/games/gnotski
/usr/games/crafty.bin
/usr/games/atc
/usr/games/animals
/usr/games/battlestar
/usr/games/canfield
/usr/games/cribbage
/usr/games/phantasia
/usr/games/robots
/usr/games/sail
/usr/games/snake
/usr/games/tetris-bsd
/usr/games/luxman
/usr/games/maped
/usr/lib/pt_chown
/usr/lib/mc/bin/cons.saver
/usr/lib/xcdroast-0.98/bin/xcdrwrap
/usr/lib/emacs/20.7/i386-debian-linux-gnu/movemail
/usr/lib/emacs/21.2/i386-debian-linux-gnu/movemail
/usr/lib/xemacs-21.4.6/i386-debian-linux/movemail
/usr/lib/apache/suexec
/usr/lib/ssh-keysign
/usr/X11R6/bin/X
/usr/X11R6/bin/xterm
/sbin/unix_chkpwd
/bin/login
/bin/su
/bin/mount
/bin/umount
/bin/ping
En principio hay algunos comandos que hacen, pero lo unico que veo raro
es que los juegos se encuentren en esta lista.
La �nica forma que se me ha ocurrido de comprobar si el who es original
es comprobando con md5sum, el codigo devuelto es
8e0ef9f966d7052ba5e09c1f83d443ce
Estoy usando woody, me har�a falta que elguien comprobase que es
correcto.
Voy a pasarme a Sarge, as� que quiz� los archivos modificados por un
hacker se destruyan con la actualizaci�n.
�Que pensais?
--
The chains are broken and the door is open wide
Our eyes adjusting to the light that was denied
And the voices ringing out now
Sing of freedom
And bring a sense of wonder
http://www.es.debian.org/intro/about.es.html
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
