he leido muchos correos quisiera dejar algunos tips para que no pierdan el camino.
1.- nunca volverse loco por algo asi, mientras mas aprendan mas paranoicos seran es mejor aprender a controlar eso desde ya.
2.- siempre que instalen un server deben firmar los archivos con tripware o aide, antes de colocarlo en producción.
al revisar la firmas de los archivos con tu base de datos del software si modifican un binario aparece de inmediato identificado.
3.- el comando ps siempre es el primer comando que se modifica, les recomiendo siempre mirar con lsoft -i no confien el el ps ya que es comun que lo modifiquen.
4.- usar rkhunter, nose su severidad en el funcionamiento, pero algo que me gustan son mails que envía.
5.- si detectas una ip con conexión extraña usa iptables y dropeala de forma permanente.
6.- en los logs busca la palabra wget para buscar las descargas de sus scripts , una ves que tengas la url del script descargalo, puedes revisar que hace siempre se aprende.
7.- si te gusta todo esto te recomiendo que instales snort.
Salu2
jp
Quoting David González Romero dgrvedado@gmail.com:
Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial. De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y reiniciar.
Saludos, David
El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." < ernesto.perez@cedia.org.ec> escribió:
On 12/29/2013 12:24 PM, Miguel González wrote:
- A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH por completo? Y como accedes a tu servidor? A no ser que este servidor este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra cosa, deshabilita el acceso root al SSH en el sshd_config y es recomendable utilizar claves RSA para loguearte en vez de usando
password.
por eso indicó a menos que se requiriera.. pero aún cuando se requiera puedes endurecer el acceso permitiendo solamente a un grupo selecto y pequeño de usuarios hacer ssh, evitando hagan ssh como root, o permitiendo solamente accesos como root con sistema de clave publica/privada... bloqueando por IP los accesos (desde firewall) o muchas variantes más. pero no por defecto
--
Ernesto Pérez +593 9 9924 6504 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Saluda ATTE JEAN PAUL CESARI V.