[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

Lun Dic 30 21:31:27 UTC 2013

he leido muchos correos quisiera dejar algunos tips para que no  
pierdan el camino.

1.- nunca volverse loco por algo asi, mientras mas aprendan mas  
paranoicos seran es mejor aprender a controlar eso desde ya.

2.- siempre que instalen un server deben firmar los archivos con  
tripware o aide, antes de colocarlo en producción.

al revisar la firmas de los archivos con tu base de datos del software  
si modifican un binario aparece de inmediato identificado.

3.- el comando ps siempre es el primer comando que se modifica, les  
recomiendo siempre mirar con lsoft -i no confien el el ps ya que es  
comun que lo modifiquen.

4.- usar rkhunter, nose su severidad en el funcionamiento, pero algo  
que me gustan son mails que envía.

5.- si detectas una ip con conexión extraña usa iptables y dropeala de  
forma permanente.

6.- en los logs busca la palabra wget para buscar las descargas de sus  
scripts , una ves que tengas la url del script descargalo, puedes  
revisar que hace siempre se aprende.

7.- si te gusta todo esto te recomiendo que instales snort.

Salu2

jp

Quoting David González Romero <dgrvedado en gmail.com>:

> Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial.
> De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto
> cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y
> reiniciar.
>
> Saludos,
> David
>
>
> El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." <
> ernesto.perez en cedia.org.ec> escribió:
>
>> On 12/29/2013 12:24 PM, Miguel González wrote:
>> >
>> >> 4. A menos que lo necesites. Desabilita ssh desde el mismo server
>> >
>> > No he entendido bien que quieres decir, deshabilitar el servicio de SSH
>> > por completo?  Y como accedes a tu servidor? A no ser que este servidor
>> > este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
>> >
>> > Otra cosa, deshabilita el acceso root al SSH en el sshd_config y es
>> > recomendable utilizar claves RSA para loguearte en vez de usando
>> password.
>> >
>>
>> por eso indicó a menos que se requiriera.. pero aún cuando se requiera
>> puedes endurecer el acceso permitiendo solamente a un grupo selecto y
>> pequeño de usuarios hacer ssh, evitando hagan ssh como root, o
>> permitiendo solamente accesos como root con sistema de clave
>> publica/privada... bloqueando por IP los accesos (desde firewall) o
>> muchas variantes más. pero no por defecto
>>
>>
>> --
>>
>> Ernesto Pérez
>> +593 9 9924 6504
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
>

Saluda
ATTE
JEAN PAUL CESARI V.