"LOGS" DESCOMPUESTO:

[Juan Carlos Guel Lopez]

-----BEGIN PGP SIGNED MESSAGE-----


On Wed, 3 May 2000, Gunnar Wolf wrote:

> > Me crackearon y /var/log/    
> > me lo vaciaron, fabrique segun yo el archivo messages, pero no registra ya
> > las entradas, el que se metio me perjudico todo lo de logs, incluso al
> > querer ver los ultimos COMANDOS de root o de cada usuario (con las
> > flechitas) no funciona....
> > ?Alguien sabe que debo reinstalar o verificar que archivos para volver a
> > habilitar todo este desorden que me han hecho?
> > 
> > tengo R.H. 6.1
> > 
> > ?Para mejorar mi seguridad, creen que deba usar R.H. 6.2? ?Ya esta
> > liberado y sin errores en el pppd?
> 
> Te sugiero como norma que si tu maquina es blanco de un ataque la
> reinstales completa... Nunca sabras que tantos binarios pueden haberte
> modificado - incluyendo el login, el passwd, el bash, por poner solo un
> par de victimas comunes.

Hola!!

Apoyo la idea de Gunnar Acerca de la intrusi'on, pero ser'ia interesante
en la mayor'ia de los casos hacer lo que se llama "Computer Forensics", en
el cual ser'ia bueno deteminar el dan~o realizado por los intrusos.

Ello te llevar'ia tiempo analizando y buscando cosas minusciosas en tu
sistema, casi con lupa verificar archivo por archivo y en algunos casos
resulta muy lento, tardado, pero a su vez muyy provechosos al final.

En muchos casos esto te da un patron de comportamiento y poder as'i
determinar si tu sistema y a su vez el segmento de tu red est'a
comprometido.

Muchas de las veces como regla los intrusos lo primero al lograr el acceso
es borrar y modificar los registros de accesos y direccionarlos a
/dev/null y es lo 'unico que afectan, pero existen diversos patrones de
comportamiento de los intrusos.

Si tu sistema est'a en producci'on y necesitas el servicio inmediato y
transparente para tus usuarios te recomiendo reinstalar el sistema , con
lo cual tendr'as la certeza 100% que el sistema est'a bajo tu control y
apartir de ahi tomar medidas preventivas para evitar y aprender de la
intrusi'on en el sistema.

Linux estan benefico en muchos aspectos que encontrar'as para diversas
herramientas que te proporcionar'an niveles de seguridad "Bastante
Aceptables" en el aspecto del manejo de archivos RPM's, lo cual facilita
en muchos casos la instalaci'on de las herramientas.

Te recomiendo instalar algunas heramientas adicionales como :

COPS, TCP-Wrappers, SSH (Secure Shell), TITAN, Tripwire 'o algunas
variantes en la actualidad de Tripwire, TIGER 'o algunas de sus variantes
como SARA.

Algunos se encuentran en forma de tutorial dentro de las p'aginas del ASC,
y los pudedes encontrar en :

http://www.asc.unam.mx/Informacion/lista_tutoriales.html

De igual forma podr'as encontrar un tutorial concerniente a la Detecci'on
de Intrusos y algunos consejos pr'acticos para poder llevar a cabo el
"Computer Forensics" que est'a tan de moda el t'ermino, al menos en los EU
ya que en algunos otros lados estas actividades se hacen y se han hecho
por varios an~os.

Espero te sirva..

Cordiales Saludos
- --JC GUEL

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBORBvKplW1rrzglhVAQHHLAf/bI9BxRqUH1oV9QextGoOBtNKJziUkNoD
ownqrniDzHt+XdwTVGGXaCKK5NFUUovbeShTolNAKWa6PsD7GQhWhLM3l6GZTyEc
W3ozduiWeKNiMh1y3SJ8bw6b3BY6sh0K8y5P4kIPKqjKl1Y+PibB9Nc8eyVYsObf
rqcOXDeG6cpyPRIkrQrYDim57H18oInv7OA2nquci0K5UiVnkxCZX/61wxTDvlzL
S4ohY8dc2AjKxxVJtgbUHzer1G0OFlZevkTckNJvvdnuOaq2iEnpxy59s2J2PLSQ
+yW1N6aZ9vEz5wwGzE/SzbMR1LBUQoJtZlmglhye57VkDjU5cVSyuA==
=Y5rm
-----END PGP SIGNATURE-----



-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx