consulta de logs messages

Angelo Paolo Guajardo Schiappacasse angelopaolo.gs en gmail.com
Sab Ago 2 11:20:15 CLT 2014


Yo creo que debe revisar primaremente que proceso eesta correindo a esa
hora , un cron o algo asi    , si la maquina esta virtualizada o no   ...
suele pasar que si el  host tiene problemas la vm tambien los tendra yo
optaria por poner un cron cada una hora con ntp  y volver a revisar si es
un problema de hd o de algun proceso en particular

Saludos


El 28 de julio de 2014, 17:04, Pablo Alberto Flores <pabflore en uchile.cl>
escribió:

> last -20 revisa las ultimas conexiones al server.
>
> revisa tu firewall para verificar desde donde se pueden conectar.
> Busca todos los archivos que tengan fechas de modificacion o creacion la
> fecha del incidente incluye los archivos ocultos.
> cambia las claves de acceso.
> no permitar que el root se logue por consola, define solo un usuario que lo
> pueda hacer y unelo al grupo wheel.
> busca usuarios nuevos creados.
> escanea con antirootkit.
>
> Ponte en modo paranoico :D y como dice Claudio, si tu no pusistela eth1 en
> promiscuous alguien mas lo hizo.
> y recuerda que un buen intruso siempre borra sus huellas.
>
>
> Te recomiendo instalar ossec para problemas similares
>
> Suerte
>
> El 28 de julio de 2014, 16:35, Claudio Aracena Castex <
> claudio.aracena en gmail.com> escribió:
>
> > Hola,
> >
> > primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo
> > hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún.
> >
> > revisa contra tu gestor de paquetes si hay modificaciones en tus
> binarios.
> >
> > cuéntanos como te va.
> >
> >
> > Claudio Aracena C.
> > "Amat victoria curam"
> >
> >
> >
> > El 28 de julio de 2014, 15:32, Luis Enrique Araneda<leacbass en gmail.com>
> > escribió:
> >
> > > Estimados,
> > >
> > > A alguien le ha ocurrido esto? veo un salto de horario en los logs, y
> > > aparte que estoy buscando algun log informandome de un problema que
> > ocurrio
> > > cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto!
> > >
> > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP:
> > > [172.20.1.2]:55233
> > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP:
> > > [172.20.1.2]:55234
> > > Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from
> UDP:
> > > [172.20.1.2]:55234
> > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP:
> > > [172.20.1.131]:55234
> > > Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode
> > > Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode
> > > Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled
> > for 5
> > > minutes
> > > Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled
> > for
> > > 5 minutes
> > > Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode
> > > Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode
> > > Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled
> > for 5
> > > minutes
> > >
> > > Atento a sus amables comentarios.
> > >
> > >
> > >
> > >
> > > --
> > >
> > > *Luis Araneda Cortés*
> > >
> >
>


Más información sobre la lista de distribución Linux