Problema de máquinas crackeadas

Lun Jun 18 20:21:57 CDT 2001

puedes hacer una regla con ipchains si dependes 
totalmente del nfs o si quieres upgradea tu redhat.

Esto no permitira ver ese puerto desde fuera y no 
permitira conexiones.

ipchains  -A output -i eth0 -p tcp -s tu.ip.add.ress 111 
-d 0.0.0.0/0 -j DENY

Quoting \"Enrique A. Sanchez N.\" <enrique en cisa.net.mx>:

> Tengo un superproblema con crackers. Actualmente tengo 
sistemas con Red
> Hat 6.2 . He bajado todas las actualizaciones de 
updates.redhat.com, y
> he instalado todas las actualizaciones antes de 
reintegrar mis equipos a
> la red. El cracker sigue logrando entrar a mis 
sistemas. 
> 
> He estado probando con Red Hat 7.1 pero es 
incompatible en el NFS con RH
> 6.2, y dependo de este servicio para 14 equipos, y no 
tengo la certeza
> de que RH7.1 no sea vulnerable.
> 
> Mando una muestra del /var/log/messages. En una 
máquina recién
> formateada, con todas las actualizaciones bajadas, 
tengo lo siguiente:
> 
> ---------------------------------------------
> 
> 
> Jun 16 17:56:14 havnor rpc.statd[373]: gethostbyname 
error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 
8049710
> 
8052c28687465676274736f6d616e797265206520726f7220726f66
> bffff718
> bffff719 
> bffff71a
> bffff71b
> Jun 16 17:56:57 havnor adduser[1460]: new group: 
name=ftpx, gid=735 
> Jun 16 17:56:57 havnor adduser[1460]: new user: 
name=ftpx, uid=735,
> gid=735, home=/bin, shell=/bin/bash 
> Jun 16 17:57:06 havnor adduser[1461]: new group: 
name=cgix, gid=736 
> Jun 16 17:57:06 havnor adduser[1461]: new user: 
name=cgix, uid=0,
> gid=736, home=/bin, shell=/bin/bash 
> Jun 16 17:57:35 havnor PAM_pwdb[1462]: password for 
(ftpx/735) changed
> by ((null)/0)
> Jun 16 17:58:04 havnor PAM_pwdb[1463]: password for 
(cgix/0) changed by
> ((null)/0)
> 
> 
> -----------------
> 
> Ninguna de las otras bitácoras tiene registro alguno 
de la intrusión, y
> no hay actividad alguna luego de este renglón. Por lo 
pronto, borré
> estos \"usuarios\" y con chattr hice inmodificables 
passwd, shadow y
> group.
> 
> 
> Otro de mis equipos, también actualizado, tengo algo 
similar:
> 
> 
> -----------------
> 
> Jun 16 13:29:02 adun PAM_pwdb[2910]: (ssh) session 
closed for user root
> Jun 16 14:10:04 adun sshd[600]: log: Generating new 
768 bit RSA key.
> Jun 16 14:10:05 adun sshd[600]: log: RSA key 
generation complete.
> Jun 16 17:55:34 adun rpc.statd[401]: gethostbyname 
error for
> 
^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%
8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n^A°fÍ?³^D°fÍ?³^E0À
A^D°fÍ??ÎÃ1É°?Í
> 
> -------------------
> 
> También es el último renglón. Ese mensaje de rpc.statd 
lo veo repetido a
> menudo desde hace un par de días hacia atrás, pero no 
parece haber
> ninguna otra anomalía. Ninguna otra bitácora muestra 
nada anormal
> (secure registra un par de entradas desde terminal 
local), y no hallo
> ningún archivo peculiar, ni tráfico, ni nada anormal.
> 
> 
> En estos equipos, antes que lo reformateara, llegaron 
a instalar un
> snifer. Ví las bitácoras generadas por el snifer 
oculto y no aparecen
> contraseñas más que para mi ruteador (para ver y no 
modificar ¿hay ssh
> para ruteadores cisco?) y un par de cuentas de correo. 
> 
> 
> 
> Agradezco de antemano cualquier sugerencia.
> 
> - Enrique
> 
--------------------------------------------------------
-
> para salir de la lista, enviar un mensaje con las 
palabras
> \"unsubscribe ayuda\" en el cuerpo a 
majordomo en linux.org.mx
> 
---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx