El 2004-10-11 a las 12:13 +0200, Emiliano Sutil escribió:
Hola a todos.
Tengo un problema con un equipo y es que creo que me han entrado unos malos, malosos. Yo normalmente me conectaba con este equipo mediante ssh con intercambio de claves publicas. Mi sorpresa ha sido cuando hoy no me conectaba. He revisado y veo que hay ficheros con fecha de hoy por la mañana en el directorio /bin . No he encontrado mas indicio, pero supongo que eso ya es suficiente no? Los ficheros que han cambiado son estos:
Si, es sospechoso. Habría que comparar los ficheros con los originales para estar seguro, claro. En ese caso, lo que dicen es hacer una copia o imagen del disco, guardarlo, y entonces reponer todo, para su estudio posterior con calma, y si se puede, por alguien con experiencia en el tema. ¿Que servicios tenías abiertos en esa máquina, sólo el ssh? ¿Estaba actualizada, que sisema era?
-rwxr-xr-x 1 root root 18555 Oct 11 09:13 chgrp
¿Hay algo en los logs sobre las 9? Si es bueno, no habrá nada, pero si ha dejado traza en las fechas, no es tan bueno.
Esto es sintoma de que han entrado en el equipo? que mas puedo mirar? El equipo es bastante antiguo, asi que lo cambiaré enterito, pero queria saber que ha podido tocar este intruso, si es que lo hay
Hay un programita que sirve para guardar un checksum de todos los ficheros importantes que quieras, y luego detectar si han cambiado. Esto se guarda en otro disco o disquete para que los malos no lo puedan tocar. Tripwire, se llama. Claro, hay que iniciarlo antes de que entren. -- Saludos Carlos Robinson