Barrapunto

Pues eso... desde poco antes de Navidad decidí conectar a Internet mi viejo Pentium 150Mhz para que cargase con el mldonkey. Desde entonces he estado añadiendo algunas funcionalidades,tales como servidor web para mostrar las fotos de los amigos, correo electrónico propio, ssl para el apache para utilizarlo en combinación con squirrelmail, y el cacharrete ha funcionado como un campeón.

Esta mañana, entré para comprobar que quedaba espacio libre en el servidor. Y me he encontrado con que no podía ejecutar el sencillo comando "ls". intrigado, miré los permisos y me encontré que con que tenía "700". Miré el comando "last" y me encontré un login extraño de anoche, alrededor de las 23:00 horas y otro similar a las 9 de esta mañana, con pinta de proceder de una IP italiana. Así que me hice con un disquete que tenía con algunas utilidades (ls, netstat, ps, y unas pocas más), maté el proceso del mldonkey y me encontré en el puerto 15420 un servidor ssh, dispuesto a escuchar conexiones desde la ip italiana: host74-15.pool8251.interbusiness.it, y otra similar, del mismo dominio y subdominio. El login extraño de la noche anterior procede de las mismas IP.

Estoy completamente intrigado de cómo algún hacker^H^H^H^H^H cracker chapuzas de este calibre, que ni borran logs, sólo sustituyen binarios (sin preocuparse con que concuerden con los originales, y de darles permisos, ni de colocar bien los usuarios originales), ha entrado en un ordenador con el software actualizado (habrá sido un error por mi parte poner Debian testing en vez de stable, aunque esté actualizado con apt-get update/upgrade como mínimo 2 veces a la semana?) Me he dado cuenta por el poco cuidado que ha tenido, pero la verdad es que ahora mismo no tengo tiempo para hacer un análisis forense de la maquinita más detenidamente...

Al final he decidido apagar el cacharrete, ya que no conozco el fallo de seguridad del que se ha valido el intruso. Cuando tenga tiempo espero poner nuevas noticias...

nada más, un saludo.