consulta de logs messages

Pablo Alberto Flores pabflore en uchile.cl
Lun Jul 28 17:04:46 CLT 2014 

last -20 revisa las ultimas conexiones al server.

revisa tu firewall para verificar desde donde se pueden conectar.
Busca todos los archivos que tengan fechas de modificacion o creacion la
fecha del incidente incluye los archivos ocultos.
cambia las claves de acceso.
no permitar que el root se logue por consola, define solo un usuario que lo
pueda hacer y unelo al grupo wheel.
busca usuarios nuevos creados.
escanea con antirootkit.

Ponte en modo paranoico :D y como dice Claudio, si tu no pusistela eth1 en
promiscuous alguien mas lo hizo.
y recuerda que un buen intruso siempre borra sus huellas.


Te recomiendo instalar ossec para problemas similares

Suerte

El 28 de julio de 2014, 16:35, Claudio Aracena Castex <
claudio.aracena en gmail.com> escribió:

> Hola,
>
> primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo
> hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún.
>
> revisa contra tu gestor de paquetes si hay modificaciones en tus binarios.
>
> cuéntanos como te va.
>
>
> Claudio Aracena C.
> "Amat victoria curam"
>
>
>
> El 28 de julio de 2014, 15:32, Luis Enrique Araneda<leacbass en gmail.com>
> escribió:
>
> > Estimados,
> >
> > A alguien le ha ocurrido esto? veo un salto de horario en los logs, y
> > aparte que estoy buscando algun log informandome de un problema que
> ocurrio
> > cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto!
> >
> > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP:
> > [172.20.1.2]:55233
> > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP:
> > [172.20.1.2]:55234
> > Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP:
> > [172.20.1.2]:55234
> > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP:
> > [172.20.1.131]:55234
> > Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode
> > Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode
> > Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled
> for 5
> > minutes
> > Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled
> for
> > 5 minutes
> > Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode
> > Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode
> > Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled
> for 5
> > minutes
> >
> > Atento a sus amables comentarios.
> >
> >
> >
> >
> > --
> >
> > *Luis Araneda Cortés*
> >
>

Más información sobre la lista de distribución Linux