Re: MI SERVIDOR DEBIAN hackeado

["nemesis nemesis" <lastcondor@gmail.com>]

Puedes aunque sea por favor listarnos que funciones realizaba este servidor antes de ser crackeado?
1- Que servicios corria?
2- Que kernel tiene?
3- Que paquetes tiene instalado??
4- Reglas que tenia de iptables??

Si es un servidor impresindible entonces estas en un aprieto creo, que
debes comenzar por anotar todas estas cosas, y ver cual fue el error o
vulnerabilidad que aprovecharon, para que no te suceda, manuales de
seguridad basica y avanzada en linux hay cientos en internet, para
debian existe manuales oficiales sobre seguridad que puedes
encontrarlos en el sitio oficial, si te falta preparacion creo que
debes contratar alguna empresa o al menos plantearlo, creeme cuando el
mal esta hecho es muy dificil corregirlo, debes montar tu servidor y
prepararlo para que sea lo mas dificil de penetrar y esto se logra con
ahinco diario, pues en caso de que se penetre cosa que no e simposible
nunca al menos le cueste trabajo hacer de tus servidores un juguete.

Luego si tu intension es prepararte creo que estas tarde como te dije
hay cientos de manuales alla afuera esperando. Si no pues contrata
algun personal que te lo haga porque lo mas importante es que las cosas
funcionen y funcionen lo mejor posible.

2006/8/24, Ricardo Frydman Eureka! <ricardoeureka@gmail.com>:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jose Luis Rivas Contreras wrote:
> Ricardo Frydman Eureka! escribió:
>
>>>Jose Luis Rivas Contreras wrote:
>>>
>>>>>Hanlle Nicolas escribió:
>>>>>
>>>>>
>>>>>>>tengo un  servidor dedicado con DEBIAN y que lo hackearon
>>>>>>>que vistehe visto que  instalaron exim ftp4fall y encontre un archivo
>>>>>>>/etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar
>>>>>>>DOs millones de pesos..pues por este hackeo..descargaron cosas por
>>>>>>>medio de mi servidor...alguien sabe que esto que encontre...:(...por
>>>>>>>eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas
>>>>>>>que encuentro..por ahi...
>>>>>>>
>>>>>>>
>>>>>>>agradezco su opinion y consejos ....en estos momentos..
>>>>>>>
>>>>>>>
>>>>>
>>>>>Lo primero que te recomiendo es desconectar tu servidor o bloquear
>>>>>absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.
>>>
>>>Desconectar si, lo otro no por 2 motivos:
>>>+ es evidente que el compañero no sabe como hacer eso
>>>+ alguien que logro tal control sobre el servidor, no debiera ser tan
>>>idiota para no tener en claro que debe evitar eso
>>>
>>>
>>>>>Además chequear minuciosamente los logs, sobre todo /var/log/messages y
>>>>>/var/log/auth.log para ver desde donde se loguean y otras cosas.
>>>
>>>Para que? Lo urgente ahora, es establecer un servidor seguro que
>>>suplante al mutante...luego habra tiempo para investigar y juguetear.
>
>
> Si no sabes como se metieron y no sabes como bloquear con iptables INPUT
> y OUTPUT como vas a establecer un servidor seguro?

Como se lo recomende en un correo anterior: llamando a alguien que sepa,
mientras aprende observando y leyendo.


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFE7b+Mkw12RhFuGy4RAnFnAJ0b4FHu46IyVX1TNbMowkcFA4lp9QCcDwwi
6W+NLHK16i/6g+kPPlSOt7M=
=AsVi
-----END PGP SIGNATURE-----