{"id":500,"date":"2011-07-07T06:24:45","date_gmt":"2011-07-07T06:24:45","guid":{"rendered":"http:\/\/esferas.org\/msqlu\/2011\/07\/07\/sa-que-es-un-tapico\/"},"modified":"2016-04-17T08:58:59","modified_gmt":"2016-04-17T08:58:59","slug":"sa-que-es-un-tapico","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2011\/07\/07\/sa-que-es-un-tapico\/","title":{"rendered":"S\u00e9 que es un t\u00f3pico &#8230;"},"content":{"rendered":"<p>&#8230; pero hay d\u00edas en los que uno no deber\u00eda haberse levantado.<\/p>\n<p><!--more--><\/p>\n<h4>Intrusi\u00f3n en el sistema<\/h4>\n<p><img decoding=\"async\" src=\"\/dotclear\/public\/Simbolos\/.PBCrichton_Malware_Hazard_Symbol_t.jpg\" alt=\"Malware Hazard Symbol by PBCrichton\" style=\"float:left;margin: 0 1em 1em 0\" title=\"Malware Hazard Symbol by PBCrichton, Jul 2011\" \/><\/p>\n<p>O, dicho de otra forma, se me han colado. \u00bf D\u00f3nde ? Pues en el ordenador de casa. \u00bf C\u00f3mo ? Siendo tan mel\u00f3n como para dejar una cuenta de usuario con la misma contrase\u00f1a que el nombre: invitado.<\/p>\n<p>Lo he descubierto esta ma\u00f1ana y ha sido por pura casualidad. No lo han hecho nada mal, lo reconozco, y aunque creo que no ha habido escalada de privilegios, tendr\u00e9 que hacer una auditor\u00eda del sistema arrancando en fr\u00edo con un CD de recuperaci\u00f3n porque es preferible no fiarse de lo que se ha encontrado y pensar que algo m\u00e1s puede haber quedado.<\/p>\n<p>\u00bf C\u00f3mo ha sido ? Pues estaba teniendo problemas con la hora desde ayer. A pesar de tener configurado un servicio de hora por red, \u00e9sta permanec\u00eda dos horas por detr\u00e1s de lo debido. No le he dado mucha importancia porque he supuesto que ser\u00eda alguna regresi\u00f3n dado el alto n\u00famero de actualizaciones de seguridad que \u00e9stos d\u00edas aparecen en <a href=\"\/dotclear\/index.php?tag\/Debian\">Debian<\/a>, y porque -no voy a negarlo-  voy un poco de culete con los plazos de entrega de casi todo.<\/p>\n<p>El caso es que me ha dado por echarle un vistazo al registro del sistema en <\/p>\n<pre class=\"inline:true decode:1 \" >\/var\/log\/syslog<\/pre>\n<p> -buscando alguna pista sobre el comportamiento del programa  <\/p>\n<pre class=\"inline:true decode:1 \" >ntop<\/pre>\n<p>&#8211; y me encuentro con que el programa <em>cron<\/em> acaba de ejecutar algo llamado <\/p>\n<pre class=\"inline:true decode:1 \" >\/var\/tmp\/.joke\/run<\/pre>\n<p>.<\/p>\n<p>En fin. Era la forma que ten\u00eda el bot de asegurarse de estar siempre funcionando. He acabado con \u00e9l de la mejor manera que se me ha ocurrido y lo tengo en conserva para un posterior an\u00e1lisis, aunque ya he visto que recolectaba direcciones IP y un mont\u00f3n de nombres y contrase\u00f1as.<\/p>\n<h4>Actualizaci\u00f3n colgada<\/h4>\n<p><img decoding=\"async\" src=\"\/dotclear\/public\/Simbolos\/.sagar_ns_Hard_disk_Harddisk_HDD_t.jpg\" alt=\"Hard Disk by sagar_ns\" title=\"Hard Disk by sagar_ns, Jul 2011\" \/><\/p>\n<p>M\u00e1s tarde se me ha ocurrido que era un buen momento para actualizar el port\u00e1til <a href=\"https:\/\/astillas.net\/wiki\/IBook_G4\">iBook G4<\/a> y me he puesto a ello &#8230; olvidando que estaba regular de bater\u00eda y que era muy conveniente tenerlo conectado a la red el\u00e9ctrica.<\/p>\n<p>He seguido con mi vida y, efectivamente, entr\u00f3 en estado de suspensi\u00f3n y algo se qued\u00f3 a medias cuando lo reviv\u00ed (m\u00e1s de una hora m\u00e1s tarde, lo s\u00e9, es que estaba muy ocupado modificando la aplicaci\u00f3n de facturaci\u00f3n) de manera que el arranque se detiene con esta frase<\/p>\n<pre>\nNo filesystem could mount root, tried:\n<\/pre>\n<p>Y no, no ha llegado a intentar nada, porque a continuaci\u00f3n viene la retah\u00edla habitual en los ataques de p\u00e1nico del n\u00facleo y el aviso de un pronto reinicio.<\/p>\n<p>Vale. Pues otra m\u00e1s.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>&#8230; pero hay d\u00edas en los que uno no deber\u00eda haberse levantado.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[2],"tags":[41,382,35],"class_list":["post-500","post","type-post","status-publish","format-standard","hentry","category-software","tag-debian","tag-malware","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=500"}],"version-history":[{"count":0,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/500\/revisions"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}