El 6 de gener de 2010 22:37, Jordi Funollet
<jordi.f@ati.es> ha escrit:
JManel,
amb el que has vist fins ara no cal que passis el 'chkrootkit' ni el
'rkhunter'. Està molt clar que t'han colonitzat la màquina.
Potser han entrat endevinant un d'aquests passwords "tirats" o potser per
alguna aplicació no actualizada o mal configurada, però ara no cal que t'hi
trenquis molt el cap.
Com que han remplaçat alguns dels teus binaris (i no hi ha manera de saber
quins) no queda altre sol·lució que reinstal·lar tot el servidor. Quan tinc
una d'aquestes "alegries" i no puc reinstal·lar immediatament acostumo a
deixar la màquina desendollada. Així evitem que el mal s'estengui; qui s'ha
pres la feina de colonitzar la teva màquina l'estarà fent servir per alguna
cosa: atacar altres màquines, enviar spam... Tot un sector industrial en que
probablement no vols participar. ;-)
A més de reinstal·lar no t'oblidis de canviar tots els passwords. A hores
d'ara el teu "okupa" els deu tenir tots ben guardats. Avisa els teus usuaris
de que deixin de fer servir aquest password, en cas de que féssin servir el
mateix en altres llocs.
Al marge d'això, em sembla que en un altre mail has dit que fas servir
'xtightvnc'. Em confonc o els passwords no van encriptats? Això sol ja seria
un forat d'entrada, hauràs de buscar una alternativa si no vols tornar a tenir
visites.
I, per xafarderia: com és que feu servir ROMS? Ets oceanògraf?
--
##############################
### Jordi Funollet
### http://www.terraquis.net