Linux en Espanol
 
Seguridad. Como se si mi comp. y red han sido comprometidos (tema #25072)
Publicar nuevo tema  Responder al tema    Foros de discusión -> Servidores y Servicios
Autor Mensaje
Ditwar
Forista
Registrado: 2014-05-09
Mensajes: 19

Publicado: 2014-11-25 15:30:40    Asunto: Seguridad. Como se si mi comp. y red han sido comprometidos

Hola

Tengo una red casera con una computadora y una laptop con ubuntu y una laptop con win8 mas un tel?fono movil. Tengo en la primera computadora el antivirus clam. En la computadora que tengo el clam me empezo a dar muchos problemas cuando utilizaba el google chrome. En unos de mis escaneos el antivirus encontr? algunos scripts infectados en el navegador de chrome, por supuesto ya desinstal? el google chrome. Hice un escaneo con nmap en el terminal y me salen unas cosas extra?as: como puertos abiertos que no conozco, como direcci?nes ips de china.

No soy experta en Linux, soy solo una usuario normal pero estoy dispuesta aprender mas. Escribo esta pregunta porque no encuentro suficiente informaci?n al respecto en el internet.
Les agradecer? que me digan que pasos o acciones debo de hacer para descartar por completo que mi computadora y mi red est?n libres de virus, malware, programas esp?as, etc.

PD. En mi red utilizo el protocolo ssh.
PD2: La red la tengo conectada por cable y wifi a un servidor en Debian. Todav?a no tengo instalado un firewall en ninguna de las computadoras porque no conozco ninguno para ubuntu.
rafaxdrake
Forista


Registrado: 2004-02-21
Mensajes: 3928

Publicado: 2014-11-25 17:17:02    Asunto:

Es dif?cil para un experto saberlo, imagina para alguien que no sabe. El que quiere mucha seguridad suele hacer una instalaci?n especial, tomando muchas precauciones y luego crea una base de datos que luego puede cotejar con un programa llamado tripwire. Adem?s, tambi?n se suelen emplear detectores de rootkits, como por ejemplo rkhunter. Si ya te han comprometido el sistema y no tienes nada con lo que cotejarlo, no tengo ni idea de c?mo podr?as averiguarlo.
TheBalrog
BOFH
Registrado: 2004-04-05
Mensajes: 3012

Publicado: 2014-11-25 17:34:58    Asunto:

A riesgo de sonar tonto lo primero es revisar el sistema con alg?n otro producto antivirus. En mi experiencia con Clam Antivirus lo veo poco robusto para detectar. Me voy por revisar el disco duro utilizando otro producto, un desarrollador ruso cuyo logo es un ar?cnido enmarcado en verde provee de LiveCD que podr?s utilizar.

Es un punto de inicio, de ahi podr?s comenzar (y ?nicamence comenzar) a evaluar el tipo de da?o, si es que existe, que presenta el sistema.
AnimAlf
Forista


Registrado: 2008-08-18
Mensajes: 786

Publicado: 2014-11-25 18:04:06    Asunto: Re: Seguridad. Como se si mi comp. y red han sido comprometi

[quote:bae49ac240="Ditwar"]puertos abiertos que no conozco, como direcci?nes ips de china. [/quote:bae49ac240]
las de fuera deben ser las que acceden desde tu red. Los abiertos, lo est?n, pero no lo est?n para la gente de fuera de tu red. La "puerta de acceso" es la que permite este tr?fico.

[quote:bae49ac240="Ditwar"]descartar que mi computadora y mi red est?n libres de virus, malware, programas esp?as, etc. [/quote:bae49ac240]
es responsabilidad de cada usuario. Pero si quieres protegerlos y no dejarles hacer lo que quieran.

Para filtrarlos har?a que se conectaran s?lo v?a proxy al exterior, que administras y filtras todo el trafico, as? como escaneas todo el contenido de paquetes, sospechosos o no, antes de distribuirlos en la red.

http://www.server-side.de

[i:bae49ac240]Salud[/i:bae49ac240][b:bae49ac240]OS[/b:bae49ac240]
Ditwar
Forista
Registrado: 2014-05-09
Mensajes: 19

Publicado: 2014-12-01 12:08:40    Asunto:

Balrog, me puedes dar el nombre del producto que mencionas. La descripci?n del logo no me sirve de nada.
Martis
Forista


Registrado: 2015-01-28
Mensajes: 9

Publicado: 2015-01-28 14:25:53    Asunto:

[quote:36244b7d9e="rafaxdrake"]Es dif?cil para un experto saberlo, imagina para alguien que no sabe. El que quiere mucha seguridad suele hacer una instalaci?n especial, tomando muchas precauciones y luego crea una base de datos que luego puede cotejar con un programa llamado tripwire. Adem?s, tambi?n se suelen emplear detectores de rootkits, como por ejemplo rkhunter. Si ya te han comprometido el sistema y no tienes nada con lo que cotejarlo, no tengo ni idea de c?mo podr?as averiguarlo.[/quote:36244b7d9e]

Definitivamente es dur?simo para un principante. Yo tuve que leer much?simo para informarme y junto con mi compa?ero de departamento nos tom? tiempo y dinero entender toda la situaci?n. No puedes poner en juego datos o informaci?n valiosa.... ah? si es fundamental velar por lo que dices de evitar que el sistema se vea comprometido...

Tienes raz?n, esto mismo me pas? a m? yo tengo un server con [url=http://www.strato.es/servidores/server/]strato.es[/url], que empezamos usando con Opensuse 12.3 y cuando queria cambiar el puerto SSH logr? (por suerte) instalar el Paquete RPM que mencionas. Ya una vez con el rkhunter pude hacer el scan y por suerte salv? la informaci?n.





La marca registrada Linux (R) se usa siguiendo la sublicensia obtenida del "Linux Mark Institute",
el LICENCIATARIO exclusivo de Linus Torvalds, propietario de la marca en EEUU y otros países
The registered trademark Linux (R) is used pursuant to a sublicense from the Linux Mark Institute,
the exclusive LICENSEE of Linus Torvalds, owner of the mark in the U.S. and other countries