-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Muammar Wadih El Khatib Rodriguez wrote: > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes > de seguridad que provienen de una misma ip en china. Hice un > chkrootkit y no tengo nada fuera de lo normal,
Espera, vamos por partes.... Correr un chkrootkit con resultados positivos, no es garantia de nada (recuerda que si alguien entro y tiene algo de sentido comun, una de las primeras cosas que hara es evitar que lo detectes...) > todo aparece como no > infectado. Ahora lo que me preocupa es que me parece que desde esa > dirección ip están tratando de sacarme el password del root, pues > salen muchos logines fallidos para el root en intervalos muy cortos y > precisos de tiempo (2 segundos para cada intervalo), el número de > intentos es alrededor de 80. Configura tu servicio de ssh de la siguiente manera: 1) Deshabilita el acceso a root 2) Muevelo a otro puerto distinto del 22 3) Habilita el acceso /solo/ a los usuarios que desees permitir 4) Habilita el acceso por intercambio de llaves 5) Deshabilita el acceso por contraseña. > Y para el usuario que uso yo comunmente > el comando w no muestra información luego de esos intentos de > intrusión. El comando w no hace exactamente eso... > Hice un ls -alF /home/usuario/.bash_history y los permisos andan > bien. No se han creado en mi sistema usuarios que desconozca. jejeje te repito: si tienes tu sistema vulnerable y alguien con cierta habilidad te esta visitando, no dejara que lo sepas...verdad? > > ¿Debería instalar algún firewall? Creo que esa pregunta debieras habertela hecho /antes/ de conectar tu PC al cyberespacio no crees? De todas maneras, este es el tipico ejemplo que yo pongo a los que recetan firewall para todo. > o que opinión me pueden dar para no > quedar vulnerable en frente de ataques o usuarios de ese tipo. Ahi te di unas cuantas. Yo creo que ya tienes visitas indeseadas, uniendo este correo tuyo con el de la "ip auotasignada", aunque no estoy 100% seguro ni tengo tantos elementos para afirmarlo. El consejo general, en este y en cualquier otro caso /siempre/ es el mismo: leer y comprender /antes/ de actuar! > > > -- > Muammar El Khatib. > Linux user: 403107. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlARkw12RhFuGy4RApqfAJ9CfxcKcLGTOjU1S7DTTbSYtS2ttgCfdR9S J+y5h9aWKA/v//axBzPtMPU= =QXCi -----END PGP SIGNATURE-----
