No resuelve dominios

Miguel Oyarzo O. admin en aim.cl
Lun Dic 11 22:59:53 CLST 2006 

Sentido pesame*

intercalado:

At 09:22 11-12-2006, augusto ingunza wrote:
>Amigos:
>
>Tengo un problema con mi Linux, la semana pasada
>detecté que había una cuenta de usuario que fué creada
>para un fin pero últimamente no tenía uso, la semana
>pasada pude detectar que estaba siendo usada
>remotamente con una conexión via ssh y estaba ocupando
>los dos procesadores que tengo en esta PC, estaba
>corriendo dos programas "pscan2" y "scan" que ya ví en
>internet que es un gusano que ataca linux, bueno lo
>encontré desparramado por todos lados y finalmente lo
>corté,

Deberias reinstalar el sistema operativo... muchos hacker
juntan (via binders o similares) troyanos backdoors con programas utiles 
como "ps", "mail", "ls", etc.

>pero no sé como entró así que estoy cerrando
>puertos al máximo y actualizando mis servicios
>especialmente el ssh que creo que por ahí va la cosa,

por ssh lo dudo... mejor busca en las herramientas que has instalado
el ultimo anio y lee sobre sus vulnerabilidades.. por lo general
algo siempre sale.  Peligros hay en programas via MAILWEB y
cosas que usen root como owner del proceso.


>pero el problema que tengo ahora es que en esta
>máquina no puede salir a internet, es decir, tengo la
>conexión a red funcionando sin problemas pero no
>resuelve los dominios.

Una cosa es tu LAN y otra cosa es Internet.
Para Internet debes poner atencion al gateway, de las rutas en tu "tabla de 
rutas" (ojala uses una sola),
y al resolver. Si estas detras de nat debes verificar en tu "firewall".

Un gusano podroa modificar eso si tus parametros de kernel en el firewall.
Por dar una idea

imagina que el codigo haga esto (solo como ejemplo):

  echo "1"> /proc/sys/net/ipv4/ip_conntrack_max

La conceciencia sera nefasta para conexiones via NAT.

>Verifiqué mi archivo
>hosts.allow hosts.deny y están vacíos verifique
>resolv.conf y tiene lo que tienen todos los
>computadores, puedo hacer ping a cualquier otro
>computador, el único problema es que no resuelve a
>pesar que le doy tres opciones de DNS uno privado y
>dos alternativos esternos.
>Alguien sabe si este gusano pueda alterar algo más que
>no encuentro?

cuando encuentres una programa troyano o gusano
en tu servidor no lo elimines de inmediato.
Correlo con strace y ve los directorios a los que accede.
Un troyano simple puede arrancar de muchas maneras y copiarse
de una carpeta a otra como si fuera un virus.

Si es troyano solo abrira un puerta tracera para control remorto.
Si es gusano escaneara tu LAN varias veces (en busca de oyos win32 
generalmente), pero tambien
querra abrir una puerta backdoor.

Ademas, deberias verificar con iptables lo que tengas DROPed o REJECTed


>Gracias
>Augusto


Salu2,

Miguel Oyarzo O.
Austro Internet S.A.
Punta Arenas

Más información sobre la lista de distribución Linux