Te hackearon, pero oComo haces para enterarte? Cuanto mas sofisticado sea el "hacker", menos probabilidades vas a tener de saberlo. Los GEEKS habilidosos van a encubrir bien sus caminos, haciendo dificil que notes que hicieron alguna modificacion, ademas que pueden ocultarte que estan dentro de tu pc, incluso cuando la estes examinando. Ocultando los procesos, las conexiones abiertas, el acceso a archivos y el uso de recursos del sistema, los hackers pueden hacer invisibles todas sus acciones. Tenes que saber, por tanto, las maneras de derectar si hubo una invasion.
1- Alteracion de Paginas Web: Una diversion comun de los hackers principiantes (o de aquellos que realmente quieren enviar un mensaje) es sistituir el contenido de una web para anunciar el exito de su invasion. Sin embargo, si los invasores quieren mantener el acceso, rara vez anunciaran su presencia de esa o de otras formas.
2- Warez, disminucion dramatica del espacio en disco: Los hackers usaran frecuentemente las maquinas para almacenar Warez [Versiones ilegales o hackeadas/crackeadasde software comercial], hackeando herramientas o almacenando pornografia u otros archivos que quieran tener disponibles o quieran compartir con terceros. Ese espacio libre en el disco tiende a ser consumido rapidamente.
3- Alta utilizacion de la red: Si la actividad de la red parece alta, incluso cuando no estas haciendo nada, alguien puede estar usando alguna maquina para disponer de archivos o, tal vez, para invadir otra maquina via red.
4- Contacto procedente de otros administradores: Si se esta usando alguna maquina para ejecutar ataques a otras, los admins que esten siendo invadidos pueden entrar en contacto para advertirse unos a otros.
5- Interfaces de red promiscuas: Si los invasores quieren rastrear cualquier red disponible en tu PC, colocaran la interfaz en modalidad promiscua [que captura todos los paquetes].
6- Archivos registro [LOG] excluidos/truncados: Los hackers experimentados borraran una a una las lineas de los archivos de registro que muestren su accesi indebido al sistema. Un principiante, en vez de eso, simplemente excluira por completo los archivos de registro. Cualquier registro que tenga lagunas temporales o que haya sido borrado de manera sospechosa, puede haber sido adulterado.
7- Archivos utmp/wtmp daoados [GNU/Linux]: Los hackers pueden eliminar sus entradas de login de los archivos utmp y wtmp [Programas como Zap, Wipe y Vanish2 hacen eso rapidamente] o borrar los propios archivos para ocultar el hecho de que se han conectado.
8- Nuevos usuarios en el sistema: Nuevos usuarios en el archivo de contraseoas son con seguridad, pruebas de que alguien ha comprometido el sistema [lo mas probable es que sea un hacker principiante o uno que cree que nadie lo va a notar]. Generalmente usan nombres de usuarios que son semejantes a los existentes para hacerlos menos perceptibles. Ej.: anabella [user real] - anabeila [user fake]
9- Ejecucion de procesos extraoos: Si notas la ejecucion de procesos que no iniciaste y que no forman parte del sistema, estos pueden pertenecer a un invasor. Comproba si el proceso sospechoso no es simplemente una aprte de tu propio sistema. Por ejemplo, "slocate" de Linux suele causar preocupacion porque usa una buena cantidad de CPU y acceso al disco, aunque sea un recurso legitimo [aunque opcional] del sistema.
10- Utilizacion inexplicable del CPU [Unidad de Procesamiento de Datos]: Los mas sofisticados hackers pueden ocultar sus procesos de la vista o simplemente darles nombres de programas legitimos del sistema, para evitar que estos sean facilmente detectados. Si la maquina tiene una alta utilizacion de la CPU o si simplemente parece lenta, puede que este siendo utilizada por alguien mas. Por lo gral. ejecutan programas de interrupcion de claves [gralmente. consumen mucha de la CPU] en ordenadores invadidos, en lugar de ejecutarlos en sus maquinas, aliviandoles la carga.
11- La cuenta remota de un usuario local ha sido violada: Normalmente un hacker invade saltando de una maquina a otra, siguiendo a los usuarios cuando estos acceden a otros ordenadores. Invadiendo la primera maquina, el invasor puede observar esas conexiones con el exterior y comprometer la cuenta en la nueva maquina.
12- Hay algo raro en el ambiente: La mayoria de las invasiones que son detectadas comienzan cuando el admin cree que algo esta mal e inicia las pesquisas. A veces, esto revela de paso, problemas que no estan relacionados con invasiones, como un fallo en el disco, alteraciones en la red o memorias defectuosas.
Un abrazo a todos.
Autor