[LUG.ro] Seguridad & Seguimiento de usuarios.

Jose Luis Diaz lugro@lugro.org.ar
Wed, 17 Sep 2003 12:51:21 -0300


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Wednesday 17 September 2003 09:34, Alberto Ferrer wrote:
> Hay alguna forma de monitorear en tiempo real lo que hace un usuario en el
> sistema?.

Hay un programa que se llama ttysnoop, pero andaba con el servicio de telnet 
hasta donde yo recuerdo... busca por ese lado talvez encontras algo :-)

> Tiene que se de forma remota, tengo un usuario de sistema (nobody) alguien
> sube cosas a /tmp, mire las formas conosidas y las no de como puede
> subirlo, el server es de hosting y no lo encuentro (la forma de como sube
> el exploit) todabia no llega a ejecutar nada, pero esta cerca, tengo todo
> actualizado al dia, SSH, FTPD, MYSQL, SSL, APACHE, MYSQL, y otras mas, que
> puede ser?

hace un "md5sum" de los binarios que suelen cambiar (ls,ps,lsof,..etc) con 
otro de la misma distro que la tuya.
Para prevenir esto, podes usar tripware! la seguridad no pasa solamente por 
tener montando unas reglas de firewalling.


- -Jx

- -- 
José Luis Diaz - jose@citynet.net.ar            /"\  ASCII Ribbon Campaign
GNU/Linux Registered User #138499               \ /  No HTML in mail or news!
RTFM! - http://rtfm.org.ar                       X
"Kernel Panic - No signature found"             / \
- --
PGPkey: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x7BCD2757
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/aIL5M4NSjXvNJ1cRAglKAJwNh03B2p4EsNbBaSQ0uu9y/UzC8ACgrQ3E
yN3G5g6I2aTvcg52ZArCZsQ=
=9PR+
-----END PGP SIGNATURE-----