Cómo ver si te hackearon

gnome-devel.jpg¿Crees que te hackearon? ¿Que tu ex pololo/polola se metió en tu tarro a buscar cosas? ¿Que el FBI anda detrás de tus planos para construir una bomba? ¿Quieres aprender a ver si fuiste hackeado? Aquí va una guía de comandos básicos, repito, bien básicos, sobre cómo averiguarlo.

Lo primero de todo, si crees que te están hackeando en este momento, revisa quién está dentro de tu tarro (vía SSH, por ejemplo)!

$ w

Segundo, si no hay nadie ma? que tú, entonce revisa los registros de bash (bash logs):

$ cat ~/.bash_history

O si tienes al usuario root activado:

$ cat /root/.bash_history

Después, si quieres ver los accesos al servidor:

$ last

O bien,

$ cat /var/log/auth.log

Para ver si crearon nuevas cuentas de usuario (¿hay algún nombre de usuario curioso al final del archivo?):

$ cat /etc/passwd

Para ver qué conexiones estás teniendo en éste momento (y a través de qué programa):

$ netstat -tap

Para ver qué puertos tienes abiertos (y si hay alguno que no debería estarlo):

$ sudo iptables -L

En todo caso, es bien difícil que hayas sido hackeado a menos de que tengas abierto un servidor SSH (openssh-server) o alguna otra forma de acceso remoto. E incluso si fuese así (y que hayas sido hackeado), probablemente no te hicieron ningún daño grave. ¿Por? Primero, porque precisamente la idea de hackear es vulnerar los sistemas de seguridad "pasando desapercibido" (si te descubren, entonces no se puede hacer mucho, ¿no?).

De hecho, generalmente lo único que hace un hacker es dejar un puerto abierto para entrar después (los llamados "back doors"). Y por lo mismo los últimos comandos son tan importantes! Si quieres ver cómo abrir o cerrar puertos, sigue esta flechita.

menciones

    comentarios