[Ayuda] Linux bloqueado
Vicente Guerra
vic en guerra.com.mx
Mie Nov 10 19:49:03 CST 2004
On Tue, 9 Nov 2004, Antonio Tellez Flores wrote:
> Te lo decia porque a mi me paso una vez algo similar cuando estaba
> probando un demonio. Lo deje toda la noche haciendo pruebas intensivas y
> en la mañana estaba mi servidor como el tuyo. Después de un análisis
> forence descubrí que al terminarse la memoria se habían muerto varios
> servicios, la primera vez fueron unos y después otros distintos.
¿Qué "recursos" debo monitorear? Por ejemplo, "free" reporta como
4 Mb de memoria, junto con 40 Mb de cache (no tengo swap). "df" me dice
otros 40 Mb libres (es lo que tengo, pero no ocupo "extensivamente" el
disco). ¿Qué mas debería vigilar?
> Revisa a fondo tus logs, si alguién entro o los borro o todavía puede
> haber indicios de que entro aunque sean sutiles.
En los logs no encontré mucho, aunque se perdió "el final" del
log del daemon que tengo. Pensé que, por haber reiniciado el equipo,
los últimos nodos pudieron no haberse grabado junto con el resto
del archivo (como en MS-DOS).
> No te conviene tener telnet instalado. Nada mas usa ssh. Si usas ftp que
> sea anonimo y de solo lectura, pero si requieres más mejor no lo
> instales y usa una alternativa.
Necesito transferir archivos. Si utilizo sftp, ¿es el mismo?
> Aunque por momentos y sobre todo por lo del telnet pareciera que te
> creakearon la máquina algo me dice que no fúe así y es otra cosa. Si
> alguién entro a tu máquina hay varias cosas que no cuadran. Si la usan
> para divertirse, no veo el caso de apagarte los servicios y que no
> puedan entrar ellos tampoco, es mejor andar husmenando y no dejar
> huellas. Si fué para poner un servidor de spam o pornografía pues
> tampoco apagarían los servicios y estarían funcionando tratando de no
> dejar huellas. Si fué para llevarse información pues con más razón no
> dejan huella y te dejan la máquina como la encontraron. También puede
> que sea sólo por molestar pero en ese caso para que apagar los servicios
> incluso los que son para poder entrar, sería más facil borrarte los
> archivos de configuración o las cuentas o algo asi... tal vez cambiarte
> los passwords.... en fin... sólo es especulación.
Tal vez, y sólo tal vez, pudo ser un ataque, pero de parte de un
BOOTER de Yahoo! Es un equipo "lento" (Pentium a 75 Mhz), en un
lenguaje no-tan-veloz, y con poca memoria. Aunque un ataque de 40 megas
(u 80 si tomó memoria virtual) se me hace demasiado exagerado.
Gracias.
Atte.
Vic
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
Más información sobre la lista de distribución Ayuda