Seguridad en Linux

Hola compañer@s. Veréis, os escribo puesto que hoy he recibido a mi correo electrónico un mensaje de la dirección nemesys@telefonica.es (a decir verdad, es la primera vez que oigo hablar de ella), diciéndome que han estado habiendo accesos no autorizados a otros equipos procedentes de mi dirección. Aquí tenéis concretamente el mensaje:
Estimado cliente:

Nos ponemos en contacto con usted para comunicarle que estamos recibiendo
quejas de usuarios, informándonos sobre accesos no autorizados a sus
sistemas informáticos desde su conexión a Internet con número xxxxxxxx.

La causa puede ser la presencia de algún virus o troyano, o una mala
configuración de sus equipos. Es muy importante que conozca que esta
posible infección también puede dañar sus propios sistemas informáticos.

Por este motivo, le sugerimos que proceda a revisar la seguridad de los
mismos.

En la página web de OSI (Oficina de Seguridad del Internauta) 'www.osi.es',
podrá encontrar herramientas de uso gratuito para el análisis de sus
sistemas, a las que podrá acceder a través de la siguiente dirección:
http://www.osi.es/herramientas-gratuitas.

Para cualquier consulta sobre el motivo de este mensaje, nos tiene a
su disposición en nuestra dirección de correo electrónico:
‘nemesys@telefonica.es’, indicando como
asunto (e-mail#N16-07********-HACK)-Accesos a sistemas
informáticos de terceros en Internet

En espera de que esta situación se resuelva lo antes posible.

Atentamente.

Nemesys Abuse Team


La cuestión es que desde hace años que no uso Windows, sino Debian (actualmente trabajo con la distribución Wheezy). ¿Es posible que tenga el PC con algún virus/troyano? Comentar que cuando navego siempre lo hago en páginas de confianza.

Tenía entendido que en Linux era difícil que cosas como esta llegasen a ocurrir.

¿Debería pasarle un antivirus online, tal como sugieren que haga?

Agradeceré cualquier tipo de ayuda.

Muchas gracias por adelantado.
Pensaba que sería una trola, pero buscando por internet no lo es. De hecho en los foros de movistar dan soporte para estos problemas. Hasta tienen un documento con información http://www.movistar.es/estaticos/pdfs/s ... emesys.pdf

Seguramente el problema no lo tengas en Debian, sino en algún otro dispositivo conectado a tu red. También es posible que alguien esté usando tu red para hacer bobadas.

Yo llamaría a Movistar para ver si te pueden dar algo más de información.
Primera vez que lo leo, pero estaré atento.

Ya nos contaras que tal compañero, ve informando... nunca se sabe cuando puede pasar algo así.

Un saludo!
Hace no mucho también recibimos un aviso de que cierta IP enviaba paquetes sospechosos y resultó ser un cliente bien troyanizado con un viejisimo XP SP2 pero en Debian... ¿puedes ver en el router si hay alguien mas aparte de tus dispositivos?.

Me suscribo para hacer el seguimiento, me interesa el tema.
Aqui hablan de un caso parecido al tuyo y el usuario al final dice que el problema estaba en un servidor con linux, aunque no da muchas mas explicaciones:

https://comunidad.movistar.es/t5/Spam-H ... d-p/198459
Antes de nada, muchas gracias por vuestras respuestas. Iré contestando uno por uno:

@Alecs7k
Acabo de enviar un correo electrónico a la dirección del servicio nemesys a ver si me dan algo más de información. Comentarte que mi conexión es por cable, no por WIFI. Aún así, ¿es posible que alguien esté usando mi red? ¿Sabrías la manera de poder descubrir esto? (disculpa, pero es que no estoy muy puesto en temas de redes [ayay] )

Que yo sepa, no tengo ningún dispositivo conectado a mi red. Me conecto a Internet a través de un router Zyxel de Movistar. Es lo único que tengo conectado para acceder a Internet.

@Dasten
Descuida, os iré informando de todo ;)

@coyote
Hola coyote. Tal como le comenté al compañero Alecs7k, no estoy muy puesto en temas de redes ni Internet. ¿Podrías decirme cómo podría comprobar en el router si hay alguien más? Te comento (por si fuese relevante en este tema) que esta misma mañana le hice un reseteo al router para que volviese a los valores de fábrica.

A modo informativo, el modelo de router que tengo es Zyxel P660HW-D1.

Creo que no te he entendido bien con lo que comentaste del cliente troyanizado ejecutando XP SP2. ¿Te refieres a que este equipo con XP había "tomado el control" de otro PC con S.O. Debian? Perdona por la pregunta tan tonta [ayay]

@hchilde
Muchísimas gracias por el enlace ;) Lástima que esa persona no dijese qué problema había concretamente en ese servidor Debian. Habría sido muy útil saberlo, desde luego.


Comentaros que ahora mismo acabo de hacer un formateo completo del equipo. Ahora bien, ¿me recomendaríais hacer algo más para determinar si hay algún software espía ejecutándose en mi Debian Wheezy?


Muchas gracias a tod@s por vuestra ayuda.
Podrias instalar el programa ntopng y con este visualizar que pasa en tu red.

Tambien, tener algun programa para monitorear la conexion de tu red, como conky y mirar la conexion de subida, si esta enviando algo sin tu estar haciendo uso de la red, entonces, pueda ser que tengas algun bicho oculto.
snake_keys escribió:Creo que no te he entendido bien con lo que comentaste del cliente troyanizado ejecutando XP SP2. ¿Te refieres a que este equipo con XP había "tomado el control" de otro PC con S.O. Debian? Perdona por la pregunta tan tonta [ayay]

Era un cliente que tenía un lindo malware que repartía spam a diestro y siniestro, cosa que fue detectada y erradicada con un buen formateo.

Para mirar si tienes intrusos vía WiFi, instala Fing (en la Play Store) y mira si todo lo que lista en tu red son tus equipos o por el contrario hay algo mas.
@1985a
Muchas gracias por la recomendación amigo ;) Ayer instalé el conky y parece ser que el formateo surtió efecto con el supuesto virus que tenía (al monitorizar la actividad de red pude comprobar que no habían anomalías en cuestión de tráfico subido ni bajado ;) )

@coyote
Gracias por el apunte coyote. Tomo nota del Fing ;)

Un saludo compañeros
@snake_keys ¿Le has cambiado la contraseña del wifi al router de movistar? porque la que trae de serie es muy vulnerable y puede que venga por ahi el problema.

Saludos
@Raugo
También lo he hecho compañero. Muchas gracias igualmente por la sugerencia [oki]

Saludos
10 respuestas