Problemas con Login posible "Hackeo"

[Angel Santos Calderón]

Coolisteros gracias por la ayuda que me brindan en los problemas que se
presenta...

Red Hat Linux 6.0
Soy yo nuevamente con el problema de que no puedo entrar a mi servidor
ni como usuario normal ni como root ni desde una computadora en la red
ni desde el mismo servidor.

El viernes todo quedó funcionando bien, me fui de fin de semana y ahora
que regreso el lunes me encuentro con este problema. Definitivamente
creo que un Hac! estuvo por aquí tengo en uno de mis log (secure) una
entrada a mi sistema via telnet desde otro servidor en mi red el día
domingo a una hora en la que no había nadie por aquí, varios archivos
modificados en esa fecha y a esa hora pero no encuentro más rastro . Fuí
a verificar en el otro servidor (desde donde se hizo la posible entrada)
y no hay rastro de que un usuario haya entrado a esa hora en esa fecha.

Compañeros estoy en un lío la salida más rápida se que es instalar todo
de nuevo pero con eso no solucion nada! y provablemente estoy dejando el
agujero nuevamente.

Yar reibisé mi archivo password desde single mode y todo parece estar
correcto.

Necesito de ustedes en este momento, para saber :
1. Existe alguna forma de saber que archivos del sistema no mantinen su
código original.
2. Cómo identificar un caballo de Troya?
3. Cómo ver el mínimo rastro que dejó alguién en mi sistema?
4. De tener que reisntalar nuevamente y en última instancia puedo hacer
backup del etc password y de home para que luego de la instalación todo
quede normal?


Estoy seguro que de ésta vamos a aprender mucho! Es un reto, contra el
tiempo, los usarios y contra los intrusos!


-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx