PDA

Ver la versión completa : Sospecho de una Intrusion en mi equipo!



orfeos
18-06-2009, 22:55
Buenas a todos, soy un tipo paranoico y me e leído muchas cosas sobre seguridad, a fin de cuentas a nadie le gusta q le vean sus cosas jeje.

Estoy sospechando de una intrusión en mi equipo por parte de un compañero de la universidad, y queria colocar un snifer tipo netstat, tcpdump no se lo q sea, para vigilar mi red por lo menos por 15 dias es algo asi como una trampa, donde voy a colocar un perro guardias que no muerde pero graba en la puerta de mi conexion o router, bueno solo quiero saber mas o menos como esconderlo para q no se vea en los scaner y tambien saber como programarlo para q me envie todo a mi correo por que a fin de cuentas si ya tiene un backdoor no serviria de nada guardarlo en la maquina... espero me puedan ayudar gracias:confused:

j8k6f4v9j
19-06-2009, 01:02
y queria colocar un snifer tipo netstat, tcpdump no se lo q sea,
tcpdump sí monitoriza el tráfico, pero netstat es una aplicación que te muestra estados del sistema, más específicamente conexiones de red, tablas de enrrutamiento, estadísticas de las interfaces, conexiones de enmascaramiento y pertenencia a multicasts.


bueno solo quiero saber mas o menos como esconderlo para q no se vea en los scaner y tambien saber como programarlo para q me envie todo a mi correo por que a fin de cuentas si ya tiene un backdoor no serviria de nada guardarlo en la maquina...
Si hay alguien como root en tu máquina no vas a podes esconder realmente nada, se puede ofuscar, eso sí, pero no esconder. Por ejemplo, puedes renombrar el binario de tcpdump y ponerle un nombre menos sospechoso, pero aún así los parámetros cantarán lo que estás haciendo. Yo comenzaría por buscar evidencias de acceso en los sistemas normales de registro. Puedes incluso elevar el nivel de registro del cortafuegos, para que guarde evidencia de cada paquete que entra o sale de la red. Sólo tienes que controlar qué servicios tienes activos y mirar con lupa el acceso a los mismos. No hay ningún rootkit tan bueno como para no poder descubrirlo si se busca con detenimiento.

En cuanto a lo del mail, si te programas cualquier solución con salida de texto, puedes enviar (si tienes bien configurado el sistema de correo) su salida directamente al comando mail.

Puedes probarlo simplemente con

echo "hola mundo" | mail [email protected]

Salu2