Re: MI SERVIDOR DEBIAN hackeado
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Jose Luis Rivas Contreras wrote:
> Hanlle Nicolas escribió:
>
>>>tengo un servidor dedicado con DEBIAN y que lo hackearon
>>>que vistehe visto que instalaron exim ftp4fall y encontre un archivo
>>>/etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar
>>>DOs millones de pesos..pues por este hackeo..descargaron cosas por
>>>medio de mi servidor...alguien sabe que esto que encontre...:(...por
>>>eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas
>>>que encuentro..por ahi...
>>>
>>>
>>>agradezco su opinion y consejos ....en estos momentos..
>>>
>>>
>
>
> Lo primero que te recomiendo es desconectar tu servidor o bloquear
> absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.
Desconectar si, lo otro no por 2 motivos:
+ es evidente que el compañero no sabe como hacer eso
+ alguien que logro tal control sobre el servidor, no debiera ser tan
idiota para no tener en claro que debe evitar eso
>
> Además chequear minuciosamente los logs, sobre todo /var/log/messages y
> /var/log/auth.log para ver desde donde se loguean y otras cosas.
Para que? Lo urgente ahora, es establecer un servidor seguro que
suplante al mutante...luego habra tiempo para investigar y juguetear.
>
> Verifica que los binarios que tienes instalados son los que usas,
Idem del anterior: para que?
> verifica los procesos con `ps` o `top`. Respalda tu info y verifica la
> integridad de binarios con algo llamado debsums.
Idem: para que? Si te metieron cosillas es seguro que todo eso que
indicas de positivo: en que le ayudara a esta altura? (mas que para
fines didacticos)
>
> De resto, empezar a buscar por donde entraron, como lo hicieron, que
> hicieron y mantener políticas de seguridad extremas ;-).
Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y
leer y estudiar y leer y estudiar y leer y estudiar y .....
>
> --
>
> ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503
> http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug
> San Cristobal - Venezuela. TALUG -- http://linuxtachira.org
> CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug
> Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118
>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFE7Zvckw12RhFuGy4RAkMDAJ9XHCZ0TSctPjyUD7LAg6n6mDH5lQCcCRSl
8/dacVWP/zWZ+IfVVft96gI=
=KTMf
-----END PGP SIGNATURE-----
Reply to: