Re: Sistema debian atacado
Saludos:
On 10/9/07, Andres Aponte <andresglinux@yahoo.com> wrote:
> Buenas tardes lista, he sido victima de un ataque a un
> sistema Debian etch, en el cual colocaron una pagina
> de e-bay para phishing y esta siendo utilizado para
> enviar spam con el usuario www-data, instale y ejecute
> el chkrootkit y encontre varios comandos infectados
> como el pstree, sh, data, ifconfig, ademas me aparecio
> lo siguiente:
> Searching for t0rn's v8 defaults... Possible t0rn v8
> \(or variation\) rootkit installed
>
> Alguien ha tenido alguna experiencia parecid?
> necesariamente lo mas recomendable es reinstalar, o
> puedo limpiar mi sistema de dicha infeccion sin tener
> que reinstalarlo,
>
Bueno, si te es posible, realiza una copia exacta de tu disco duro,
para un posterior analisis. Luego de ello es cuando entran en accion
tus copias de seguridad, es mejor evitarse dolores de cabeza y tener
un sistema limpio.
La imagen te servira para analizar las acciones sobre el sistema
atacado y aprenderas un poco de forensics de paso, y la copia de
seguridad de la data, para restaurarlos cuando instales el sistema
limpio nuevamente y no cometer los mismos errores en base al analisis
de la imagen del disco.
Aqui hay un enlace donde analizan un sistema atacadao, donde han
instalado el rootkit que posiblemente tengas.
http://redhat.irlp.net/hack_report.html
Atte:
--
Alonso Caballero Quezada aka ReYDeS - ReYDeS@gmail.com
http://alonsocaballero.informatizate.net - LRU # 307242
http://www.PeruSEC.org - http://www.informatizate.net
http://www.NoticiasTrujillo.com
Reply to: