"LOGS" DESCOMPUESTO:

[Sandino Araico Sánchez]

Javier Rubio wrote:

> Mira, antes de entrar en histeria tienes que analizar lo que te hicieron.
>
> Para empezar, para que sigas logeando tienes que crear los archivos messages y
> syslog nulos (touch /var/log/messages) y despues matar e iniciar de nuevo el
> proceso del syslogd.
>
> Revisa si quedaron los archivos .bash_history o sh_history o similares.....(no
> creo).
>
> Lo mas sano es que respaldes tu informacion , formatees el disco y reinstales
> todo de nuevo.
>
> Antes de conectar tu maquina a la red de nuevo , asegurate de cerrar bien
> todas las puertas.

Esto puede ser de gran ayuda para cerrar puertas:

cat /etc/inetd.conf | sed "s/^/#/g" > /etc/inetd.conf
/etc/rc.d/init.d/inet restart
man inetd

También esto:
http://tolstoi.styx.net/HOWTO/html/Security-HOWTO.html

Y te recomiendo que en lugar de telnet uses OpenSSH:
http://www.openssh.com/

Y que en vez del wu-ftpd uses proftpd
http://www.proftpd.net/

Y probablemente también quieras usar el gnu-pop3d en lugar del pop3d que viene
con el paquete imap de RedHat:
http://www.nodomainname.net/software/mailutils/

Y por último también te puede servir que tengas lo siguiente:
cd /home/yo/misdocs/de_la_escuela/
ln -s /var/log/messages DOCUMENT1.DOC
tail -f DOCUMENT1.DOC > DOCUMENT2.DOC

Y de esta manera te quedas con un respaldo de /var/log/messages para que después
de que te vuelvan a violar lo puedas analizar más a conciencia. Toma en cuenta
que /var/log/messages se actualiza frecuentemente, así que verifica que tengas
siempre funcionando tu respaldo con la versión más reciente.

Puedes hacer algo parecido con /root/.bash_history

Ah, y también actualiza tu bind a su versión más reciente:
http://www.isc.org/products/BIND/

>
>
> Saludos!
>
>

--
Sandino Araico Sánchez
Los guisados tienen una muy fuerte afinidad hacia la ropa blanca.




-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx