Intrusion en mi sistema [Solucionado]
DesconectadoHola gente, e paso algo muy similar a lo que se comenta en este post(http://www.esdebian.org/foro/42755/intentaron-atacar-debian). De echo es lo mismo, solo me paso mientras estaba jugando un mmorpg, de repente de me empiezan a abrir todas las ventanas del juego y las cerraba no daba tiampo a cerrar, era todo muy rápido, hasta que de repente empieza a escribir en la consola de chat,( tal-vez porque yo puse la consola de chat, no recuerdo) pero me escribe primero "ech" supongo que abra sido echo y luego de eso me escribe "You got Owned".
Las opciones que tengo son dos, o algún bug del juego que alguien aprovecho, de esto busque en el foro del juego y nadie le paso. Y lo otro que alguien aya accedido a mi pc.Lo mas logico, siendo que tenia activado el escritorio remoto.
Estoy tras un router, así que ni bien paso esto bloque todos los puertos que tenia redireccionados a mi pc( los de ssh, y dos de los escritorios remotos-VNC y xrdp). Verifique los logs de auth.log y me econtre que tenia montones de intentos de acceso atravez de ssh( es algo que habia habilitado hace poco dias y al dia siguiente ya tenia los ataques, lo que me da a desconfiar de servicios algunos servicios onlines) pero por suerte todos fallidos, ahor ala pregunta es
Tengo algunos otors logs que pueda ver para tener idea de que paso?
La verdad soy nuevo con esto de seguridad, como dije antes hace menos de 5 días que habilite esto para tener control desde afuera.
Desde ya muchas gracias-
- Inicie sesión o regístrese para enviar comentarios
- 875 lecturas
¿Qué juego es?
Regnum.
La idea fija que es tengo que es fue fue por el escritorioi remoto. Mirando detalladamente, habilite el escritorio remoto sin pass. Hay algun log que pueda revisar?
Regnum.
La idea fija que es tengo que es fue fue por el escritorioi remoto. Mirando detalladamente, habilite el escritorio remoto sin pass. Hay algun log que pueda revisar?
en mi ruter que corre sobre linux, tiene un log donde dice cada conexion hecha hacia el ruter desde internet, podrias fijarte ahi y buscar alguna ip rara ...
saludos...
Regnum.
La idea fija que es tengo que es fue fue por el escritorioi remoto. Mirando detalladamente, habilite el escritorio remoto sin pass. Hay algun log que pueda revisar?
en mi ruter que corre sobre linux, tiene un log donde dice cada conexion hecha hacia el ruter desde internet, podrias fijarte ahi y buscar alguna ip rara ...
saludos...
Si eso lo había mirado, pero no había nada por ahi que me sirva.
Gracias por responder.
Pues de momento yo cambiaba el nº de puerto del ssh, subía la potencia de la seguridad a 1024, si me conecto lo hago con keys+palabra de paso y no solo con pass,mmmmmm revisaba el FW para dejar un acceso monousuario con bastantes restricciones.
Y visitaba este par de sitios http://www.portknocking.org/ y http://openvpn.net/ , para que fueras acostumbrándote a tener una buena profilaxis informática.
saludos
Fail2ban, arno-iptables-firewall y llaves ssh publica/privada en vez de contraseña son las medidas que yo tomaría en un principio. Verifica con chkrootkit o alguna herramienta similar que no te haya instalado en el sistema ningún rootkit.
Gracias a todos por responder, y disculpen que no pase antes por aca pero estuve de vacaciones.
Voy a estar analizando todas las cosas que me recomiendan en cuanto a seguridad, estudiar los liks que pasaron.
Ya verifique con chkrookit y aparentemente esta limpio el pc.
Revise el auth.log y ningun acceso fue concretado. Definitivamente solo entraron por el escritorio remoto que había dejado sin pass, si una gran torpeza se me paso por alto pero como estaba con el juego no pudo hacer mucho o practicamente nada, no supe encontrar logs del escritorio remoto.
Gracias nuevamente.