-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-14 a las 09:12 +0200, Josep M. Queralt escribió:
robin1.listas> No las conozco.
Me lo temía. :-(
Oye, ¡que eso no es concluyente! :-) Si que existe un "/usr/bin/pmlogcheck", "/usr/bin/dh_installlogcheck", que se parecen, y puede que sea lo que buscas, según el resto de tu mensaje. Y también hay una referencia a "/usr/share/nagios/docs/int-portsentry.html".
Cosas de la edad. Dicho de otra manera. Un proceso en memoria que detecte y/o intercepte código vírico que entre en el sistema
Pero es que el problema que tratas de solucionar no son virus, no te va a arreglar nada, por tanto. El problema son agujeros en el PHP que permiten, posiblemente a script kiddies, entrarte. Lo primero es asegurar el sistema, y aquí hay gente bastante más experta que yo que te podrán aconsejar. En el manual de administración de SuSE hay un capítulo. Luego hay herramientas. Tienes snort, para ver patrones de "coladuras" en la red. Tienes programas como "aide" o "Tripwire" para buscar cambios en ejecutables y ficheros criticos - pero la base de datos debe ser externa, incluso quizás la aplicación, en un disquete protegido de escritura, por ejemplo. Tienes aplicaciones para comprobar rootkits, como chkrootkit (http://www.chkrootkit.org/, y en el dvd)
robin1.listas> > o "algo" para robin1.listas> > monitorizar un determinado directorio del sistema, para ser más exactos robin1.listas> > el directorio /tmp robin1.listas> robin1.listas> ¿Para que?
Me parece que ya habia dado muchas pistas. :-)
No caí, pensaba en viruses :-)
Hay más bichos parecidos, algunos usan SSH en lugar de Telnet, cogen permisos del usuario "nobody" y se instalan en /tmp y a partir de ahí lanzan los procesos que se les indique o invitan a sus primos mediante "wget". También pueden cambiar de usuario y por ejemplo lanzar procesos de "spam" al servidor de correo mediante el usuario "wwwrun".
Ya... entonces, lo suyo es investigar por donde ha entrado cada uno y reportarlo, para que cierren el agujero. SuSE si le da importancia a los agujeros de seguridad, hay una lista expresamente dedicada a eso. Y quizás te merezca la pena la sles.
El problema es que, quien escoge el usuario necesita privilegios de ejecución aunque solo sea en el directorio "/tmp". :-)
Ejecutables en tmp me parece que se considera un agujero de seguridad. Podrías montar la partición /tmp aparte con el flag "noexec", eso es un truco. Lo que no se es si eso puede romper agún script, pero podrías modificarlos en ese caso.
Por eso pensaba en "algo" para interceptar o, mal menor, limitar los privilegios en ese directorio.
¿acl? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDT7i4tTMYHG2NR9URAgxvAJ0VnBYlcWkoYZAnSdqNGpiZeb24hgCgjqSU MQPEaC4pC/bW6xucz6k40rE= =GAcl -----END PGP SIGNATURE-----