![](https://seccdn.libravatar.org/avatar/a36350a19b9b2625ed2715df4b0d2d34.jpg?s=120&d=mm&r=g)
Hola: Agradecería que me indicaran como deshabilitar el loggin remoto: Checking for allowed root login... Watch out Root login possible. Possible risk! Ese es el mensaje que me da el chkrootkit, haciendo last -i me salen unas IP de korea, ¿conectados? con mi nombre de usuario y :0 , que no se si es que entraron o sencillamente lo intentaron. Un saludo a todos. Peter Holm. -- <<********************************************************************>> GnuPG ID: 0x9CCF37BD Linux user: 318588 <<No vale más el que sabe mucho, sino el que hace mucho con lo poco que sabe.>> ~ Hugo René Ortiz (Mx). <<Si un proyecto funciona: revisa la parte que no considerabas importante.>> ~ (Ley de Biondi) - ->http://www.telefonica.net/web/peter-holm - -> Collaborative Intrusion Detection join "http://www.dshield.org/" <<********************************************************************>>
![](https://seccdn.libravatar.org/avatar/861b5545c111d2257fa12e533e723110.jpg?s=120&d=mm&r=g)
El 2005-01-15 a las 22:02 +0100, Peter Holm escribió:
Ese es el mensaje que me da el chkrootkit, haciendo last -i me salen unas IP de korea, ¿conectados? con mi nombre de usuario y :0 , que no se si es que entraron o sencillamente lo intentaron.
¿Por casualidad algo como esto? cer :0 248.0.4.64 Mon Jan 17 18:24 still logged in Y acabo de encender la máquina y no me he conectado todavía a internet, así que es imposible que se me haya conectado alguien. Comparalo con who o w: NAME LINE TIME IDLE PID COMMENT EXIT cer + :0 Jan 17 18:24 old 5464 (console) ó USER TTY LOGIN@ IDLE JCPU PCPU WHAT cer :0 18:24 ?xdm? 32.01s 0.01s -:0 Y si miramos el proceso: 5452 ? S 0:00 /usr/X11R6/bin/wdm 5454 ? S 0:00 \_ /usr/X11R6/bin/wdm 5463 ? SL 0:09 \_ /usr/X11R6/bin/X -nolisten tcp -br vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-tMCjVA -> 5464 ? S 0:00 \_ -:0 6268 ? S 0:01 \_ /opt/gnome/bin/gnome-session Si intentas hacer host, whois, or ping a esa IP, 248.0.4.64 verás que falla con mensajes "raros", como algo de "que rayos haces", como si fuera algo que todo el mundo supieramos que no se puede hacer. Esa IP debe ser un rango reservado a uso local. Y digo "debe" porque yo, formalmente, no he estudiado internet, casi no existía cuando yo estudié, y no informática precisamente. Así que alguno de los que están por aquí que tengan esas materias fresquitas nos lo puede contar a todos para que está reservada esa IP. ;-) (si, hice una búsqueda rápida con grep por los rfc, pero no lo encontré). -- Saludos Carlos Robinson
![](https://seccdn.libravatar.org/avatar/a36350a19b9b2625ed2715df4b0d2d34.jpg?s=120&d=mm&r=g)
El Lunes, 17 de Enero de 2005 18:43, Carlos E. R. escribió:
El 2005-01-15 a las 22:02 +0100, Peter Holm escribió:
Ese es el mensaje que me da el chkrootkit, haciendo last -i me salen unas IP de korea, ¿conectados? con mi nombre de usuario y :0 , que no se si es que entraron o sencillamente lo intentaron.
¿Por casualidad algo como esto?
cer :0 248.0.4.64 Mon Jan 17 18:24 still logged in Si, eso es lo que sale, creo que lei en su dia que en Linux, en Xwindow todo se consideraba como red, por lo tanto creo que es eso, una IP interna de comunicacion entre los elementos del Xwindow,. en este caso la consola. El problema de cerrar esto al exterior (bloquear la entrada de root) esta solucinado, ya no lo dice cuando escaneo. Gracias a todos. Peter Holm. -- <<********************************************************************>> GnuPG ID: 0x9CCF37BD Linux user: 318588 <<No vale más el que sabe mucho, sino el que hace mucho con lo poco que sabe.>> ~ Hugo René Ortiz (Mx).
<<Si un proyecto funciona: revisa la parte que no considerabas importante.>> ~ (Ley de Biondi) - ->http://www.telefonica.net/web/peter-holm - -> Collaborative Intrusion Detection join "http://www.dshield.org/" <<********************************************************************>>
![](https://seccdn.libravatar.org/avatar/7f8a10a160d500cbaedb109ca700d1de.jpg?s=120&d=mm&r=g)
El Lunes, 17 de Enero de 2005 18:43, Carlos E. R. escribió:
Si intentas hacer host, whois, or ping a esa IP, 248.0.4.64 verás que falla con mensajes "raros", como algo de "que rayos haces", como si fuera algo que todo el mundo supieramos que no se puede hacer.
* Esta dentro del rango de reservadas, seguramente dhcp, en Ric98-1 habra mas informacion.
participants (3)
-
Carlos E. R.
-
jose maria
-
Peter Holm