[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?
Gabriel Pinares
glupiado en gmail.com
Dom Dic 29 16:09:32 UTC 2013
Hola.
Desde x IP se han logrado colar utilizando SHELL.
Al revisar el archivo
/var/log/secure
encuentro:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
port 44021 ssh2
Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session
opened for user userz by (uid=0)
Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11:
PECL/ssh2 (http://pecl.php.net/packages/ssh2)
Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session
closed for user userz
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -
Tengo CentOs 6.4
como pueden ver han ingresado por SHELL
Ese LOG es todo lo que he hallado.
¿puedo hallar más info de las acciones que ha realizado [IPx] ?
¿cómo? / ¿dónde?
Grácias
Más información sobre la lista de distribución CentOS-es