Me han Hackeado

Question

Me han Hackeado

alberli 06 mar 2005 19:58

Exepcion grave oe :-

636 mensajes
desde mar 2004
en Las Afortunadas

Pos eso amigos me han hackeado, os comento tengo dos ordenadores y en uno de ellos tengo la debian sarge llegue a casa y me encontre la luz del router a saco me estraño le hago un netstat y estaba una ip del rango 63. conectada por ssh y ese es el unico puerto que tiene abierto el router, me encontre que habia creado un nuevo usuario y me pregunto si le daria tiempo de hacer algo mas, otra cosa tenia ejecutando el firestarter y al unico servicio que le di permiso fue al ssh,.

el tema es que despues de varios años con redhat y fedora sin problemas me da por provar la debian ya que solo hace 2 semanas que lo instale con lo cual esta casi a pelo, me pregunto si me reventaron por ssh o tengo algun troyano , rootkit o ya directamente tiene algun fallo de seguridad esta vercion.

hay alguna utilidad para revisar la integridad de seguridad del sistema??. Gracias de antemano..

Un saludo

11 respuestas

Answer 1 · 2005-03-06T19:06:32+00:00

Deberias haber puesto una regla iptables para q solo deje entrar por ssh a un rango especifico de ips o solo a la red local, nada de gente de fuera y además, si consiguió hacer un usuario es porq se hizo root, así q yo de ti verificaria el sistema a conciencia.

PD: Esto te puede pasar con debian, fedora, suse o pericolospalotes.

Answer 2 · 2005-03-06T19:31:28+00:00

Hombre esta claro que eso puede pasar con cualquier distro, pero no me diras que es raro, antes tenia un servidor web, correo tanto pop como web, ns, ftp, etc me intentaron reventar en equipo muchisimas veces y no lo consiguieron y ahora en tan solo dos semanas ya lo hayan hecho, como que suena raro no??.

en iptables e creado varias reglas primero tengo acceso total en la red local osea a 5 ip y en internet pues me conecto en equipos con ip dinamica.

ahora me instalare el portcentri .

Un saludo

Answer 3 · 2005-03-07T09:22:04+00:00

Es obvio que si tenías la Debian a pelo, como tú dices, pues razón de más, pero eso no quiere decir que sea culpa de Debian, si hasta ahora has estado usando otras distribuciones y has tenido suerte de que no te entren habrá sido precisamente porque lo tenías todo bien cerradito, pero en fin, que no te preocupes, que de todo se aprende... [pos eso]

Answer 4 · 2005-03-07T12:16:32+00:00

Y no serán q te andaban rondando desde hacia tiempo hasta q al final han visto como entrar?
Eso pasa en todos los ataques, hasta 2 meses de enumeración y estudio pueden llegar a estar antes de encontrar un hueco, y en tu caso fué el cambio de distro, supongo yo.

Answer 5 · 2005-03-08T20:55:40+00:00

Hola gente, creo que e dado con el problema, creo que me pillaron la contraseña a traves de windows, hoy me e dado cuenta que tenia un troyano muy bien escondido, la semana pasada entre en una page un poco oscura y se me instalaron varios spyware y este troyano y creo que es a raiz de hai todo el problema y digamos que windows lo uso lo menos posible pues no me percate del tema. pero bueno como dice el dicho, una para saber y otra para aprender. gracias a todos por vuestra ayuda.

Un saludo desde Canarias.

Answer 6 · 2005-03-08T23:57:02+00:00

Para una proxima vez puedes hacer una cosa , cambiar el puesrto de SSH y en el fichero configuracion sshd_config añades una linea tal cual,

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes
AllowUsers "tu usuario"@* root@una ip de tu red

Con esto consigues que nadie pueda logearse como root desde fuera de tu red. aunque consigan la clave no podran acceder, asi primero deberan acceder como usuario y luego ganar privilegios .

Answer 7 · 2005-03-09T09:58:06+00:00

ZX80 09 mar 2005 10:58

MegaAdicto!!!

1.387 mensajes
desde jun 2003
en Barcelona

Página web de ZX80

No entiendo como pillaron una contraseña de Linux desde un windows ¿?

Answer 8 · 2005-03-09T10:02:18+00:00

ZX80 escribió:No entiendo como pillaron una contraseña de Linux desde un windows ¿?

Usará la misma clave para la sesión en windows y administración en Linux.

Answer 9 · 2005-03-12T01:59:18+00:00

euskal 12 mar 2005 02:59

Habitual

68 mensajes
desde may 2003

Página web de euskal

Pudo conectar por ssh desde windows y logearon el teclado...

Answer 10 · 2005-03-16T15:04:33+00:00

Hola gente os esplico, yo tengo dos ordenadores y un solo teclado, raton y monitor, con lo cual uso un swith ( creo que se escribe de esta forma) y el caso es que habeses para no estar pasando de un equipo a otro lo que hago es que habro una sesion con el putty y me imagino que lo pillarian por ai,
de todas formas ya estoy resicnado, tengo un colega trabajando en una empresa de i+d y me a comentado que si el tio sabe no hay nada que hacer salvo desconectar la red, me estuvo contando que en los cursos de hispasec una de las practicas era elegir una ip al asar y traerse una shell y si esa ip esa en uso lo hace y me lo demostro osea ya ni me molesto demasiado.

Un saludo a todos.

Xan 22 mar 2005 11:47 Adicto **356** mensajes desde **ene 2002** · Answer 11 · 2005-03-22T10:47:04+00:00

Solo por curiosidad, tienes alguna idea de quien puede haber sido...tu amigo ese de hispasec tiene muchas papeletas...

Saludos.