Re: MI SERVIDOR DEBIAN hackeado
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hanlle Nicolas escribió:
> tengo un servidor dedicado con DEBIAN y que lo hackearon
> que vistehe visto que instalaron exim ftp4fall y encontre un archivo
> /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar
> DOs millones de pesos..pues por este hackeo..descargaron cosas por
> medio de mi servidor...alguien sabe que esto que encontre...:(...por
> eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas
> que encuentro..por ahi...
>
>
> agradezco su opinion y consejos ....en estos momentos..
>
>
Lo primero que te recomiendo es desconectar tu servidor o bloquear
absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.
Además chequear minuciosamente los logs, sobre todo /var/log/messages y
/var/log/auth.log para ver desde donde se loguean y otras cosas.
Verifica que los binarios que tienes instalados son los que usas,
verifica los procesos con `ps` o `top`. Respalda tu info y verifica la
integridad de binarios con algo llamado debsums.
De resto, empezar a buscar por donde entraron, como lo hicieron, que
hicieron y mantener políticas de seguridad extremas ;-).
- --
~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503
http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug
San Cristobal - Venezuela. TALUG -- http://linuxtachira.org
CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug
Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
iD8DBQFE7QCpOKCtW8rKsRgRAhULAKChwpc5VpXDt2dMlRPrtJYyG8hRnQCeLhMs
P8cMg8/W8WVhaRcL0kTGmd4=
=lA9r
-----END PGP SIGNATURE-----
Reply to: