Problema de máquinas crackeadas

[Enrique A. Sanchez N.]

Tengo un superproblema con crackers. Actualmente tengo sistemas con Red
Hat 6.2 . He bajado todas las actualizaciones de updates.redhat.com, y
he instalado todas las actualizaciones antes de reintegrar mis equipos a
la red. El cracker sigue logrando entrar a mis sistemas. 

He estado probando con Red Hat 7.1 pero es incompatible en el NFS con RH
6.2, y dependo de este servicio para 14 equipos, y no tengo la certeza
de que RH7.1 no sea vulnerable.

Mando una muestra del /var/log/messages. En una máquina recién
formateada, con todas las actualizaciones bajadas, tengo lo siguiente:

---------------------------------------------


Jun 16 17:56:14 havnor rpc.statd[373]: gethostbyname error for
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 8049710
8052c28687465676274736f6d616e797265206520726f7220726f66
bffff718
bffff719 
bffff71a
bffff71b
Jun 16 17:56:57 havnor adduser[1460]: new group: name=ftpx, gid=735 
Jun 16 17:56:57 havnor adduser[1460]: new user: name=ftpx, uid=735,
gid=735, home=/bin, shell=/bin/bash 
Jun 16 17:57:06 havnor adduser[1461]: new group: name=cgix, gid=736 
Jun 16 17:57:06 havnor adduser[1461]: new user: name=cgix, uid=0,
gid=736, home=/bin, shell=/bin/bash 
Jun 16 17:57:35 havnor PAM_pwdb[1462]: password for (ftpx/735) changed
by ((null)/0)
Jun 16 17:58:04 havnor PAM_pwdb[1463]: password for (cgix/0) changed by
((null)/0)


-----------------

Ninguna de las otras bitácoras tiene registro alguno de la intrusión, y
no hay actividad alguna luego de este renglón. Por lo pronto, borré
estos "usuarios" y con chattr hice inmodificables passwd, shadow y
group.


Otro de mis equipos, también actualizado, tengo algo similar:


-----------------

Jun 16 13:29:02 adun PAM_pwdb[2910]: (ssh) session closed for user root
Jun 16 14:10:04 adun sshd[600]: log: Generating new 768 bit RSA key.
Jun 16 14:10:05 adun sshd[600]: log: RSA key generation complete.
Jun 16 17:55:34 adun rpc.statd[401]: gethostbyname error for
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n^A°fÍ?³^D°fÍ?³^E0ÀA^D°fÍ??ÎÃ1É°?Í

-------------------

También es el último renglón. Ese mensaje de rpc.statd lo veo repetido a
menudo desde hace un par de días hacia atrás, pero no parece haber
ninguna otra anomalía. Ninguna otra bitácora muestra nada anormal
(secure registra un par de entradas desde terminal local), y no hallo
ningún archivo peculiar, ni tráfico, ni nada anormal.


En estos equipos, antes que lo reformateara, llegaron a instalar un
snifer. Ví las bitácoras generadas por el snifer oculto y no aparecen
contraseñas más que para mi ruteador (para ver y no modificar ¿hay ssh
para ruteadores cisco?) y un par de cuentas de correo. 



Agradezco de antemano cualquier sugerencia.

- Enrique
---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx