Re: MI SERVIDOR DEBIAN hackeado
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Jose Luis Rivas Contreras wrote:
> Ricardo Frydman Eureka! escribió:
>
>>>Jose Luis Rivas Contreras wrote:
>>>
>>>>>Hanlle Nicolas escribió:
>>>>>
>>>>>
>>>>>>>tengo un servidor dedicado con DEBIAN y que lo hackearon
>>>>>>>que vistehe visto que instalaron exim ftp4fall y encontre un archivo
>>>>>>>/etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar
>>>>>>>DOs millones de pesos..pues por este hackeo..descargaron cosas por
>>>>>>>medio de mi servidor...alguien sabe que esto que encontre...:(...por
>>>>>>>eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas
>>>>>>>que encuentro..por ahi...
>>>>>>>
>>>>>>>
>>>>>>>agradezco su opinion y consejos ....en estos momentos..
>>>>>>>
>>>>>>>
>>>>>
>>>>>Lo primero que te recomiendo es desconectar tu servidor o bloquear
>>>>>absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.
>>>
>>>Desconectar si, lo otro no por 2 motivos:
>>>+ es evidente que el compañero no sabe como hacer eso
>>>+ alguien que logro tal control sobre el servidor, no debiera ser tan
>>>idiota para no tener en claro que debe evitar eso
>>>
>>>
>>>>>Además chequear minuciosamente los logs, sobre todo /var/log/messages y
>>>>>/var/log/auth.log para ver desde donde se loguean y otras cosas.
>>>
>>>Para que? Lo urgente ahora, es establecer un servidor seguro que
>>>suplante al mutante...luego habra tiempo para investigar y juguetear.
>
>
> Si no sabes como se metieron y no sabes como bloquear con iptables INPUT
> y OUTPUT como vas a establecer un servidor seguro?
Como se lo recomende en un correo anterior: llamando a alguien que sepa,
mientras aprende observando y leyendo.
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFE7b+Mkw12RhFuGy4RAnFnAJ0b4FHu46IyVX1TNbMowkcFA4lp9QCcDwwi
6W+NLHK16i/6g+kPPlSOt7M=
=AsVi
-----END PGP SIGNATURE-----
Reply to: