[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?
César Martínez
cmartinez en servicomecuador.com
Lun Dic 30 21:38:49 UTC 2013
Adicional a todo lo que han mencionado podrias colocar dentro del archivo .bash_profile una alerta cuando alguien entra como root el sistema te enviara un email de forma inmediata
--
Saludos
César Martinez Mora
Ingeniero de Sistemas
Servicom
Enviado desde mi mobile Samsung galaxy
jean paul cesari <jp en dim.uchile.cl> escribió:
>
>he leido muchos correos quisiera dejar algunos tips para que no
>pierdan el camino.
>
>
>1.- nunca volverse loco por algo asi, mientras mas aprendan mas
>paranoicos seran es mejor aprender a controlar eso desde ya.
>
>2.- siempre que instalen un server deben firmar los archivos con
>tripware o aide, antes de colocarlo en producción.
>
>al revisar la firmas de los archivos con tu base de datos del software
>
>si modifican un binario aparece de inmediato identificado.
>
>3.- el comando ps siempre es el primer comando que se modifica, les
>recomiendo siempre mirar con lsoft -i no confien el el ps ya que es
>comun que lo modifiquen.
>
>4.- usar rkhunter, nose su severidad en el funcionamiento, pero algo
>que me gustan son mails que envía.
>
>5.- si detectas una ip con conexión extraña usa iptables y dropeala de
>
>forma permanente.
>
>6.- en los logs busca la palabra wget para buscar las descargas de sus
>
>scripts , una ves que tengas la url del script descargalo, puedes
>revisar que hace siempre se aprende.
>
>7.- si te gusta todo esto te recomiendo que instales snort.
>
>
>Salu2
>
>jp
>
>
>
>
>
>Quoting David González Romero <dgrvedado en gmail.com>:
>
>> Exacto no por defecto. Y sobre todo si puedes explotar sudo sería
>genial.
>> De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el
>puerto
>> cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y
>> reiniciar.
>>
>> Saludos,
>> David
>>
>>
>> El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." <
>> ernesto.perez en cedia.org.ec> escribió:
>>
>>> On 12/29/2013 12:24 PM, Miguel González wrote:
>>> >
>>> >> 4. A menos que lo necesites. Desabilita ssh desde el mismo server
>>> >
>>> > No he entendido bien que quieres decir, deshabilitar el servicio
>de SSH
>>> > por completo? Y como accedes a tu servidor? A no ser que este
>servidor
>>> > este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde
>fuera.
>>> >
>>> > Otra cosa, deshabilita el acceso root al SSH en el sshd_config y
>es
>>> > recomendable utilizar claves RSA para loguearte en vez de usando
>>> password.
>>> >
>>>
>>> por eso indicó a menos que se requiriera.. pero aún cuando se
>requiera
>>> puedes endurecer el acceso permitiendo solamente a un grupo selecto
>y
>>> pequeño de usuarios hacer ssh, evitando hagan ssh como root, o
>>> permitiendo solamente accesos como root con sistema de clave
>>> publica/privada... bloqueando por IP los accesos (desde firewall) o
>>> muchas variantes más. pero no por defecto
>>>
>>>
>>> --
>>>
>>> Ernesto Pérez
>>> +593 9 9924 6504
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
>>
>
>
>
>Saluda
>ATTE
>JEAN PAUL CESARI V.
>
>
>
>
>_______________________________________________
>CentOS-es mailing list
>CentOS-es en centos.org
>http://lists.centos.org/mailman/listinfo/centos-es
Más información sobre la lista de distribución CentOS-es