Hola, necesito ayuda porfavor. Uso Fedora Core 3, en el manejo un script en el cual regula ancho de banda para clientes wireless, el caso es que no entiendo como logran entrar al servidor, en iptables tengo dado de alta la configuracion para que no tenga acceso nadie que no tenga mi rango de direccion IP, la verdad no creo q entre por medio de root, porque la contraseña es muy compleja.. y me di cuenta q me estaban hackeando porque al hacer un who vi una direccion ip ajena, y me ha borrado la carpeta /etc, y me ha cambiado la contraseña. Mas alla de haber colocado esa regla en iptables, no se que mas pueda hacer para que no tenga acceso al servidor.. no soy muy experto en todo esto,
necesito de su ayuda.. Muchas Gracias.

En una red wireless, con denegar por ip no alcanza (cuánto cuesta cambiar una ip?). Deberías autenticar por mac address.

Iptables también sirve para eso.

Saludos.

Lamento que lo que escribiré no contribuya a solucionar vuestro problema. Sin embargo, resulta necesario aclarar que lo que os ha ocurrido no es un caso de "hackero", mas bien, es la labor de un "cracker".

No hay que confundir esos conceptos.

Hola Sagato:

Has mirados los logs que hay en tu servidor muchas veces eso ayuda para ver de donde proviene el ataque y por donde se te han colado.

Si crees que alguien se te ha hecho root te recomiendo esto

dentro de la carpeta /var/log/messages/

corre grep root *

Saludos.

Mant3ca

Hola tiene razón Neureus.
Todos los routers inalámbricos tienen la opción de filtrado MAC "nombre propio e único que tiene cada tarjeta de red, por cable o inalámbrica".
Tengo una red de cuatro ordenadores por cable y uno portátil inalámbrico y lo primero que hice fue poner el filtrado MAC y quitar el servidor de DNS.
También tiene razón gatolinux, ya que el que entra si te borra algo es por es un payaso que se quiere hacer notar.

jejeje que lio no mira para checar si el hackersillo a echo al goraro puedes hacer esto para checar que paso en tu sistema , mira es muy importante que recuerdes cuando usaste las consolas y aque horas, y cuan do entraste como root en consolas virtuales ok

a h ora pasemos alo interezante , te lo digo por pasos:
1 abre una ventana de consola y fimate como root

2 es cribe last --------------este tedara un resultado de conecciones fechas y horas y duracion de las secciones y porcual vty fue y conque usuario se firmaron remotamente en tu sistema ok


es to es de mucha ayuda para saber de donde fue el ataque y, ya que su fue muy listo pudo borrar los logo de wtmp craro si hackeo al root

3 si notas alguna coneccion rara toma nota de las hoaras de coneccion y duracion de las secciones y checa cuantas veses se firmoy con que nombre se firmo , esto te servira para que cheque en tu sistema con el comando w en esas horas y checar sino yntenta conectarse de nuevo

4 checa tu archivo etc/passwd para checar si no creo un usuario para conecciones posteriores

5 con el comando history "atacante" -----------atacante cambialo por el nombre del usuario con el que se firmo y ver que comando uso



creo que con esto puedes indentificar el ataque

otr si cuando haces w o el last tesale que tienes al gun usuario loggeado de una ip x puedes terminarle la seccion

con ps -A ----------- te muetra los prosesor y checa en cual tty tienes una bahs funcinando y checa el PPID

y de las un kill 1233 ------- numero de proseso del tty

a de mas puedes checar que prosesos esta corriendo el intruso en tu sistema pero eso telodigo luego mira que me tengo que marchar pero haslo que tedicho y sitienes dudas aqui estoy

y mira seme pasaba corre nmap para checar si no te abrio un puerto

lo corres e consola nmap localhost

un salu2 y recurda actualizar tu sistema y tu kernel y nada te pasara jaja baytelas

Muchas gracias a todos, ahora he aplicado filtros en IpTables, pero lo q yo tengo duda es si pudo haber entrado debido algun servicio q pueda tener un agujero o una falla en Fedora Core 3 ??

Saludos!

mira lomejor que puedes hacer es instalar nessus y hacerle una audioria de seguridad a tu equipo y para saber que bug tiene tu sistema


y lo puedes descargar de aqui

http://ftp.nessus.org/nessus/nessus-2.2 ... installer/

solo ejecutas en consola

root@localhost#sh nessus-installer.sh

Aunque éste hilo tiene ya años, me ha servido en la actulidad, je je, vulneraron mi pc este día y pues con los tips que ha colocado galinuxhack intetaré corregir algun desastre en mi pc.

Posteaba únicamente para agradecer, y para seguir preguntando:

¿qué medidas hay que tomar luego de un ataque al ordenador? además de las que hay descrito...

Agradeceré las que continuen respondiendo

no tanto instalar nessus galinuxhack, (si es que quiere ver errores en aplicaciones criticos), en su caso, solo es cuestion de puertos, reglas, ips, con un nmap bastaria para ello, si quieres monitorear de manera constante tu server, podrias instalar un IDS. como por ejm. nagios, usando un plugin para los logeos al server.

Firestarter me parece excelente y bastane sencillo en su uso.

Es el que uso para cerrar puertos y tener abiertos los esenciales como el 80, 21, 22 y 25.

Además me permite hacer uns lista blanca de las direcciones ip que pueden entrar a los servicios de ssh por ejemplo.

Ja, gracioso que un post tan viejo vuelva a tener actividad, pero creo que postearé lo que yo haría en caso de algo así para ver si a alguien le sirve.

Primero, pensaría de qué modo habrían logrado entrar, si ninguna contraseña es débil, etc.
En cuanto a conectarse a la wireless, bueno, eso no hay mucho de qué asustarse ya que las pueden crackear muy fácil, sobre todo ahora con el framework de nvidia, si no han leído esa noticia, búsquenla en google, está interesante.

Desactivaría todos los servicios que no uso en el momento y cambiaría el passwd de todo.
Si me rootearon, respaldaría todo y reinstalaría todo el OS.

Si el hdp, vuelve a entrar después de todo eso (no lo de rootear), buscaría en milw0rm o una base de datos de exploits, algún exploit público para los servicios que tengo corriendo.

Si no aparece, entonces estaría lidiando con alguien que realmente sabe lo que hace, si aparece entonces es un script kiddie cualquiera. ésto sólo por curiocidad de ver quién es.

Luego lo más bonito, el access point registra las MAC de quienes han loggeado (si la spoofeó, esperaría a verlo)

Correr airodump para ver las MAC de las personas conectadas a access points ajenos.

Una vez localizado el access point al que está conectado el "hacker" (la diferencia entre hackers y crackers la inventaron los whitehat, así que no creo que valga la pena marcar una diferencia) saldría con mi lap a caminar a ver la dirección en que la señal de dicho acess point aumenta, una vez localizada la casa, tocaría la puerta para sacarle un susto al hdp.

A ver si así sigue jugando

Saludos!

no manchen Dic 18, 2004 9:33 am -.-

sip, pero hice la consulta para no abrir un nuevo post xD ya ven que por acá hay muchos señalamientos, el asunto es para confirmar si los pasos siguen vigentes y que otros puedo aplicar....

Lo que debes hacer primero es averiguar vulnerabilidades de tu distro.
Si tu clave es robusta no creo que halla sido por fuerza bruta. Deshabilita accesos que permitan ver claves en la red, es decir ftp, tenel, claves en html, utliza ssh, https, solo deja accesos a una ip con iptables.
Verifica tus logs con regularidad
, vale la pena que ademas de averiguar con nessus (scanner de seguridad) tus posibles huecos , instales un IDS , puede ser un snort que te ayude a detectar posibles ataques en la red.

Con el tema de la MAC, no es muy seguro autenticar con este sistema, pues se pueden clonar.....

Adicionalmente y por ultimo, te recomiendo para redes inalambricas RADIUS