Herramientas para detectar intrusiones

[psychos]

Saludos!

Antes que nada, planteare mi problema. Me dedico a la enseñanza de informatica a gente en el paro, gente mayor i demas colectivos. El problema surgió cuando una alumna me avisó que la cuenta de hotmail que tenia no le aceptaba la contraseña. Le dije que se hiciera otra por que creía que se la habían hackeado. La segunda cuenta que creó también le paso, al cabo de un par de dias, le cambiaron la contraseña.
Fui a su casa i para evitar un nuevo hackeo, realizé los siguientes pasos:

1.- Activé el firewall de su ruter.
2.- instalé un firewall en el pc (concretamente Zone Alarm)
3.- Hice un escaneo con NOD32, que resultó limpio.
4.- Por si las moscas, escaneé contra spyware con ad-aware i spyware terminator.
5.-Instalé un programa anti keylogger (concretamente I Hate Keyloggers)

Después de todo esto, creé una nueva cuenta, le dije a firefox que no recordase las contraseñas para evitar las cookies, i me fui pa casa pensando que lo había solucionado.

Al cabo de un par de horas, me llama i me dice que le volvía a pasar lo mismo con la nueva cuenta, con lo que me surgen dos preguntas:

1.- Como co** lo hizo para saltarse toda la seguridad (si era un hacker)
2.- Si no lo es, puede ser un posible bug de hotmail?

Alguien me recomienda alguna otro programa para evitar mas ataques, a parte de los ya mencionados arriba?

Gracias!

[anderetxebe]

Buenas,

bueno, los keyloggers normales que encontramos por internet son de facil deteccion,pero en el caso de que esté codeado por el atacante y sepa bien como esconderlos... lo siento pero pueden hacerlo :s

Salu2

[- TuX -]

pues basta con ver el estado de las conexiones, cuando este conectado a internet basta con ejecutar en la shell el muy conocido comando

netstat -b  (para ver las conecciones y el ejecutable que esta usando la conexion)

o  netstat -oan (para ver todas las conexiones y su estado)

para ver si hay alguien conectado al pc, si no quieres usar la shell usa un programa llamado tcp view.

[Nyx]

Sin embargo aun existen algunos rootkits que son priv8(me encataria tenerlos todos), que sirven para esconder todos los comandos, archivos ejecuciones e incluso conexiones que están ejecutándose en el PC atacado, de los cuales es muy difícil quitarlos a menos de que se tenga una supervision a punto de estos y claro se descubra el metodo de desactivacion, sin embargo muchas veces teniendo infectado el PC el CPU trabaja perfecto siendo que estamos siendo espiados sigilosamente.

[psychos]

Gracias por las respuestas!

El problema es que el pc es de una mujer de 63 años, que si le pido que monitorize toda esa actividad, la pobre mujer se va a perder.

En fin, creo que le recomendaré formatear el pc i a esperar que el intruso se canse de leer los mails de una jubilada...

Vete tu a saber, a lo mejor al tio le ponen los cotilleos de abuelas...

Un saludo i gracias!