La puerta de Tannhauser
[Elucubraciones de un Linuxero Genomero]
Lo soltó: Aloriel - 18/05/2005 a las 14:12:16
Anoche terminé de escribir una entrada que pondría hoy en el blog sobre redes BT y ED2K siguiendo unos enlaces (el más interesante era este de acs) y me metí en la cama. Al ir a publicarlo esta mañana me he dado cuenta de que en topos (no pinches) no existía la página o_O (dije que no pinchases). He reintentado hacerlo quitándome las legañas y he obtenido el mismo resultado. Así que el siguiente paso ha sido un ssh...
... ssh que no me deja conectar, mal rollo, ya sé que ha habido algún problema serio y me huelo que me han entrado.
Enchufo a topos una pantalla y un teclado, hago login para reiniciar, no me deja ni escribir reboot, peor rollo. Reinicio tirando del cable, kernel panic al reiniciar....
Extraigo el disco duro y lo monto en mi PC de sobremesa con bastantes problemas con GRUB y BIOS que no vienen a cuento, arranco por fin una Knoppix y veo que se han cepillado los directorios /boot /root y /var. Atónito miro las copias de seguridad y los home, las primeras faltan por un mal particionado (sabía que algún día me lo reprocharía) y las segundas están, pero no hay respaldos de MySQL... tampoco hay logs ni .bash ni .bash_history ni leches, el fulano me ha entrado hasta la cocina.
Después de salvar lo salvable de los home me he dedicado a reinstalar de cero y olvidarme de ningún tipo de análisis forense (tampoco había mucho que hacer) y he reinstalado desde cero a partir de una Sarge.
Curioso que la Sarge me haya instaldo el núcleo 2.6.8-1-686-smp si con la net-install me instalaba el 2.6.7-1-386, de todos modos no tiraría con topos que es un mísero Pentium 200 MHz, así que después de instalar todo tocaba también una imágen nueva del núcleo (otro error, no tira con 686, vuelta a 386). Pero después de unas cuantas horas ya estaba todo funcionando.
Ahora queda analizar mis errores como pseudoadministrador (lo de pseudo viene por que está visto que no llego a administrador):
- No enjaular al apache
- Tener demasiados puertos abiertos
- Tener sid instalada sobre woody y con un núcleo 2.4.18-bf (con cosas bizarras que no contaré)
- Ser demasiado confiado
- No ser paranoico
- Tener una instalación chapucera (de las primeras que hice)
- Tener un particionamiento chapucero
Lamento sobre todo haber perdido la bitácora de mi hermano (a lo mejor Google ayuda a recuperar algún post) y no haberle hecho caso con respecto al apache. Esta me la apunto por melón.
Cracker: plas plas, te has lucido conmigo.
Mazi: gracias por la ayuda, ya está hecho todo lo que se podía hacer.
Respecto a lo de meterle BSD al p200 no merece la pena, este piso lo dejamos en menos de dos meses, asà como la conexión y (por fin) mis años de Valladolid.
La puerta de Tannhauser: Monitorizando deimos
Desde que decidi renunciar a idefix y hospedar mis blogs me propuse hacerlo bien. Su chroot, su scripts de monitorización y su todo. Ya tuve una experiencia desagradable hace tiempo y no quiero que me ...
Después de leer hace unos dÃas algo acerca del ataque al server de Soleup y ahora esto me pregunto ¿cómo asà no aseguráis primero las copias de seguridad haciendo de vez en cuando una copia en papel del sistema y haciendo un indexado de archivos con aide o tripwire? luego, si os puede la paranoia (sobre todo en el de Soleup) también podrÃais tener el snort+ntop guardando los logs en una máquina remota.
Otra opción serÃa machacar el P200 con un BSD, pero bueno, para gustos los colores.
Un saludo.