On Tue, 2002-04-02 at 16:28, Juan Roberto Campos Flores wrote: > Resulta que durante la Semana Santa me hackeron, cambiaron la clave de administrador >y el tipo se creo un usuario con todas las propiedades del root.... > > ok la consulta es la siguiente.... > > Como hago para cambiar la clave del root..... uso Red Hat 7.1
hace tiempo que no lo hago pero una manera podria ser, -booteas el tarro con un disco de instalacion, (sin seguir todo el procedimiento de instalacion) -abres una consola desde el instalador (en debian un simple alt+F2, en RH me imagino que debe tambien debe de haber) -montas la raiz del sistema, algo como un mount -t ext2 /dev/hda1 /mnt -editas el archivo /mnt/etc/shadow -buscas una linea que se paresca a: root:s12rX9qaA1O$2LN3egrtR56ixzXGR9ucAhr.:11755:0:99999:7::: quitandole el segundo argumento: root::11755:0:99999:7::: -salvas el archivo y rebooteas, deberias de poder botear en linux single y con password de root nulo y comenzar la investigacion de logs y otras cosas que te ayuden a determinar por donde se metieron. > en el ipchains como retringo los accesos a las redes que dectet� sospechosas, eso >pues usando un modo que me dijeron que tiene RH se cambiar entrar al sistema con >propiedades de root, sin embargo me dijeron que con passwd pod�a cambiar la clave del >root pero no me funciona.... te recomiendo empezar por actualizar el kernel a un 2.4.x y usar iptables, aqui[0] hay una referencia de documentacion de iptables > Necesito su ayuda hasta el momento no parece haber ning�n da�o importante en la >informaci�n del servidor pero no se que pueda pasar...... No te confies, probablemente te instalo varios trojans, backdoors, y otras cosas que aun despues de que le quites la cuenta y restaures tu root le continuaron brindando acceso al tarro. En opinion, -Debes comenzar por sacar esta maquina de produccion mantenerla en un ambiente aislado (sin conexion a red, ni que nadie tenga acceso fisico) para poder investigar. Se que sera muy dificil pasar todo el ambiente de produccion (datos nada mas) a otro tarro, tienes que tener cuidado que pasas, evitar esparcer el contagio. -Probablemente ya se volo los logs del sistema pero al rato si es vago no lo hizo...lo que te podria ayudar a detectar como entro en el sistema. -Revisa todos los archivos del sistema, sobre todo binarios <hint>ultima fecha de modificacion del archivo</hint> al rato de nuevo fue demasiado vago y no se cubrio. -Revisa las versiones de los paquetes, usa las firmas MD5 de los paquetes de redhat para confirmar que tienes los paquetes correctos instalados. revisa el sitio de redhat para tu version 7.1 cuantas vulnerabilidades hay, cuantas ya has tapado. El lograr detectar como se infiltraron en el sistema es muy importante, porque te ayudara a tapar estas vulnerabilidades en todos los demas servidores o maquinas que tengas, y esto no tiene precio. Reinstalar el tarro de nuevo no es la solucion, pues puedes volver a incurrir en el mismo error de configuracion que abrio la ventana al ataque. Aprovecha para aprender y a futuro evitar. Y de nuevo _NO_CONFIES_ en los datos que hay en el servidor, solo porque no parece haber modificado nada no implica que no lo haya hecho. Tambien lo que encuentres en tu investigacion tomalo con una cucharada de sal pues tambien pueden ser pistas falsas que te dejo para confundirte. Bueno, estoy seguro que todos podemos aprender bastante de las experiencias de otras personas en esto, mas consejos? Por cierto otra cosa que debes de tener en cuenta, cuantas personas tienen acceso fisico al tarro? Tambien un numero considerable de violaciones de seguridad se dan dentro de la empresa u oficina donde se ubica el equipo. Solo por que te diste cuenta despues de semana santa que te hackeron no implica que sucedio en estos dias. Pudo tener acceso desde hace rato y hasta ahora decidio hacerse visible... Mucha Suerte, espero nos cuentes que encuentras. Marco C. [0]http://www.linux.or.cr/documentos/faq?qid=111 _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com -- �Desea desuscribirse? Escriba a [EMAIL PROTECTED] con el tema 'unsubscribe'. M�s informaci�n: http://www.linux.or.cr/listas
