Re: MI SERVIDOR DEBIAN hackeado

To: "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org>
Subject: Re: MI SERVIDOR DEBIAN hackeado
From: "Ricardo Frydman Eureka!" <ricardoeureka@gmail.com>
Date: Thu, 24 Aug 2006 09:30:40 -0300
Message-id: <[🔎] 44ED9BF0.5020707@gmail.com>
Reply-to: ricardoeureka@gmail.com
In-reply-to: <[🔎] 44ED00A9.5070107@gmail.com>
References: <[🔎] cc7fcbca0608231818i18ed344ewd36374167136a9a1@mail.gmail.com> <[🔎] 44ED00A9.5070107@gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jose Luis Rivas Contreras wrote:
> Hanlle Nicolas escribió:
> 
>>>tengo un  servidor dedicado con DEBIAN y que lo hackearon
>>>que vistehe visto que  instalaron exim ftp4fall y encontre un archivo
>>>/etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar
>>>DOs millones de pesos..pues por este hackeo..descargaron cosas por
>>>medio de mi servidor...alguien sabe que esto que encontre...:(...por
>>>eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas
>>>que encuentro..por ahi...
>>>
>>>
>>>agradezco su opinion y consejos ....en estos momentos..
>>>
>>>
> 
> 
> Lo primero que te recomiendo es desconectar tu servidor o bloquear
> absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.

Desconectar si, lo otro no por 2 motivos:
+ es evidente que el compañero no sabe como hacer eso
+ alguien que logro tal control sobre el servidor, no debiera ser tan
idiota para no tener en claro que debe evitar eso

> 
> Además chequear minuciosamente los logs, sobre todo /var/log/messages y
> /var/log/auth.log para ver desde donde se loguean y otras cosas.

Para que? Lo urgente ahora, es establecer un servidor seguro que
suplante al mutante...luego habra tiempo para investigar y juguetear.

> 
> Verifica que los binarios que tienes instalados son los que usas,

Idem del anterior: para que?

> verifica los procesos con `ps` o `top`. Respalda tu info y verifica la
> integridad de binarios con algo llamado debsums.

Idem: para que? Si te metieron cosillas es seguro que todo eso que
indicas de positivo: en que le ayudara a esta altura? (mas que para
fines didacticos)

> 
> De resto, empezar a buscar por donde entraron, como lo hicieron, que
> hicieron y mantener políticas de seguridad extremas ;-).
Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y
leer y estudiar y leer y estudiar y leer y estudiar y .....

> 
> --
> 
> ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503
> http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug
> San Cristobal - Venezuela. TALUG -- http://linuxtachira.org
> CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug
> Fingerprint = 3E7D 4267 AFD5 2407 2A37  20AC 38A0 AD5B CACA B118
> 

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFE7Zvckw12RhFuGy4RAkMDAJ9XHCZ0TSctPjyUD7LAg6n6mDH5lQCcCRSl
8/dacVWP/zWZ+IfVVft96gI=
=KTMf
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: MI SERVIDOR DEBIAN hackeado
  - From: Jose Luis Rivas Contreras <ghostbar38@gmail.com>

References:
- MI SERVIDOR DEBIAN hackeado
  - From: "Hanlle Nicolas" <hanlle.nicolas@gmail.com>
- Re: MI SERVIDOR DEBIAN hackeado
  - From: Jose Luis Rivas Contreras <ghostbar38@gmail.com>

Prev by Date: Re: Modulos en Kernel LINUX
Next by Date: Re: Particion con debian
Previous by thread: Re: MI SERVIDOR DEBIAN hackeado
Next by thread: Re: MI SERVIDOR DEBIAN hackeado
Index(es):
- Date
- Thread