Re: MI SERVIDOR DEBIAN hackeado
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ricardo Frydman Eureka! escribió:
> Jose Luis Rivas Contreras wrote:
>>> Hanlle Nicolas escribió:
>>>
>>>>> tengo un servidor dedicado con DEBIAN y que lo hackearon
>>>>> que vistehe visto que instalaron exim ftp4fall y encontre un archivo
>>>>> /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar
>>>>> DOs millones de pesos..pues por este hackeo..descargaron cosas por
>>>>> medio de mi servidor...alguien sabe que esto que encontre...:(...por
>>>>> eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas
>>>>> que encuentro..por ahi...
>>>>>
>>>>>
>>>>> agradezco su opinion y consejos ....en estos momentos..
>>>>>
>>>>>
>>>
>>> Lo primero que te recomiendo es desconectar tu servidor o bloquear
>>> absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.
>
> Desconectar si, lo otro no por 2 motivos:
> + es evidente que el compañero no sabe como hacer eso
> + alguien que logro tal control sobre el servidor, no debiera ser tan
> idiota para no tener en claro que debe evitar eso
>
>>> Además chequear minuciosamente los logs, sobre todo /var/log/messages y
>>> /var/log/auth.log para ver desde donde se loguean y otras cosas.
>
> Para que? Lo urgente ahora, es establecer un servidor seguro que
> suplante al mutante...luego habra tiempo para investigar y juguetear.
Si no sabes como se metieron y no sabes como bloquear con iptables INPUT
y OUTPUT como vas a establecer un servidor seguro?
>
>>> Verifica que los binarios que tienes instalados son los que usas,
>
> Idem del anterior: para que?
Idem del anterior :).
>
>>> verifica los procesos con `ps` o `top`. Respalda tu info y verifica la
>>> integridad de binarios con algo llamado debsums.
>
> Idem: para que? Si te metieron cosillas es seguro que todo eso que
> indicas de positivo: en que le ayudara a esta altura? (mas que para
> fines didacticos)
Si, sería más que todo fines didácticos, pero cuando te comen TB de
ancho de banda más te vale aprender bien las cosas. Siempre hay que
aprender cosas nuevas...
>
>>> De resto, empezar a buscar por donde entraron, como lo hicieron, que
>>> hicieron y mantener políticas de seguridad extremas ;-).
> Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y
> leer y estudiar y leer y estudiar y leer y estudiar y .....
>
Y muuuuuuuuuuuuuuuuucho :)
Saludos Ricardo.
>
> --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source - Administrador de Sistemas
> jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
> SIP # 1-747-667-9534
- --
~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503
http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug
San Cristobal - Venezuela. TALUG -- http://linuxtachira.org
CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug
Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
iD8DBQFE7bwLOKCtW8rKsRgRAoIBAJ4iSXP+SBSW6313dXBMys8ISEs9PwCg1eI4
puYmBANJ1G2+5tNK05RBs9o=
=Bk1F
-----END PGP SIGNATURE-----
Reply to: