El día de hoy, me pongo a checar y pongo todas mis computadoras en red, y ese contador, no se mueve, y solo marco uno. Entonces eso indica que hay alguien mas, estaba en la computadora ya sea por medio de Internet, por que, la conexiòn esta abierta. Como puedo cerrar ese paso.

Se supone que si has puesto todas tus máquinas en la red, al menos _UN_ usuario del servidor tiene que estar activo. Es lógico pensar que _UN_ usuario habrá iniciado los servicios del servidor. :-) En consecuencia es normal que tengas _un_ usuario activo en la red. Con _un_ usuario activo pensar que hay alguien más es entrar en el "modo paranoico". En el "modo paranoico", lo primero que tienes que hacer es aprender a usar el "firewall", el cortafuegos en castellano o la "pared de fuego" en el tuyo. - La filosofia es autorizar _solo_ los puertos de los servicios que tengas que usar permanentemente y cerrar todos los demás. Servicios que, como SSH, solo se usan esporádicamente, hay que abrirlos solo cuando los vayas a usar y volverlos a cerrar cuando acabes. - Instalar un programa de detección y prevención de intrusos, tal como SElinux y/o Snort. - Los usuarios, realmente importantes, tales como "root" o "admin" (si existe), deben usar contraseñas "seguras". No sirven las que pueden sucumbir ante un ataque por diccionario, es decir que sean palabras comunes como "zanaHoria" o "monumento". Es mejor que contengan números y algún carácter extraño como " * " ó " ^ ". Ademas tienes que ser capaz de recordarlas por lo que es necesario que, al menos para tí, tengan una lógica. Un ejemplo podría ser el título de un libro, el autor y su año de edición. Así por ejemplo: Asesinato en el Comité Central es de Manuel Vazquez Montalbán y se publicó en 1981. quedarái una contraseña como: "1981MVMacc" que se compone 1º del número del año 2º las iniciales del autor en mayúsculas y 3º de la primera letra de cada palabra del título en minúscula. - No dejar que el usuario "root" pueda efectuar conexiones remotas, tales como FTP, SSH etc. directamente. Es mejor entrar con un usuario normal y una vez conectado pasar a root. Eso hace que se necesiten dos contraseñas, la "normal" y la de root. - Revisar los programas que tienes instalados y mantenerlos actualizados con los últimos parches, en especial los que dan servicios remotos, tales como Apache, Postfix ó Sendmail, PHP etc. - Cambiarle el nombre a "wget" por otro que puedas recordar, ya que "wget" es usado por muchos gusanos para, una vez conseguido el acceso, introducir más mi*rda en el servidor Consultar las listas negras que se publican en la red para verificar que tus IPs públicas no están ellas por "openrelay" u otras causas (servidor de correo, DNS o proxy) Por ejemplo 201.161.48.140, tu IP, está marcada como una dirección "spammer" en algunas DNSL. Una lista aproximada de quien considera tu servidor como "spammer" la tienes aquí: http://www.dnsstuff.com/tools/ip4r.ch?ip=201.161.48.140 Y el informe de SORBS es especialmente preocupante: http://www.de.sorbs.net/lookup.shtml?201.161.48.140 Fíjate que estás en la sección de la base de datos de sitios vulnerables y/o hackeados y que el informe es reciente (14 de Agosto) Como hoy yo no estoy especialmente paranoico, ahora mismo no se me ocurre nada más, pero dado el resultado del último informe, creo que ya tienes trabajo por unos cuantos días. Empieza por las actualizaciones y poner contraseñas seguras. Continúa revisando la configuración del servidor de correo y luego instala, al menos, Snort. ... se me olvidaba, en /log/var/ tienes un montón de logs que ayudan a combatir los deseos de dormir del administrador de una red cuando está en modo paranoico. :-) "Logwatch" puede ayudarte, no a dormir, pero si a pasar menos horas mirando "logs". -- Salutacions - Saludos, Josep M. Queralt