Historiadores creen que en la fecha Wed, 05 Jan 2005 12:17:05 +0000
"Jesus Antolin Garcia"
Hola a todos!
Compañeros de batalla contra esos cabrones que nos intentan fastidiar los sistemas, necesito ayuda. Tengo un server con apache,ftp y tal y tal. Durante estas vacaciones, se ha estado reiniciando sin motivo, unas 3 veces por semana o asi.
busca algun rootkit y verifica tu sistema... revisa los registros !!!!
Dejando por lo tanto sin servicio a mis alojados. Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ).
Se no es ssh seguro, que otro software sera ??? Se entraron en tu computadora, tengo case que absoluta certeza de que no fue por un fallo en SSH (a no ser que tengas un sistema muy desactualizado), posiblemente : 1 - entraron aprovechando algun fallo en el servidro apache o ftp (sabes tu que ftp, es extremamente inseguro??? ) 2 - algun usuario valido en el sistema decidio juguetear con tuyo servidor !!!
Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12 Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER.
aver .. creo que entiendes mal !!! segun el log que tu pasaste arriba, ta informando que _intentaron_ acceder a tu maquina con el usuario pattirick, mas este usuario no existe (illegal user).. o sea, simplesmente hiceron una tentativa de login, mas no resulto !!! Se fuera de la manera que tu piensas que es, estaría yo en problemas: cerberos:/var/log# cat auth.log | grep Illegal | wc -l 10133 bye -- Victor Hugo dos Santos Linux Counter #224399 Puerto Montt - Chile "Inmortalidad: Privilegio de los muertos que dejaron huellas." -- Henry Ford