Re: consulta

To: "Alberto A. Molina M." <dickeroso@gmail.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: consulta
From: Javier Barroso <javibarroso@gmail.com>
Date: Wed, 24 Mar 2010 09:39:21 +0100
Message-id: <[🔎] 81c921f31003240139j28546987v9853a91c6d2c88e2@mail.gmail.com>
In-reply-to: <[🔎] a05e84621003231300h1e30cbd7x7df6d80a48d5ef3@mail.gmail.com>
References: <[🔎] a05e84621003231300h1e30cbd7x7df6d80a48d5ef3@mail.gmail.com>

2010/3/23 Alberto A. Molina M. <dickeroso@gmail.com>:
> Estimados, me han hackeado un servidor de páginas web y no se por donde
> empezar a revisar cuales podrían ser los motivos o las fallas. Me pueden
> indicar algunos logs que me proporcionen información importante u alguna
> otra ayuda que me sirva a saber por donde podrían haber entrado.

Por estas cosas es importante no tener el servidor corriendo como root...
Hay muchas opciones por las que te podrían haber entrado en el servidor:
 - ¿Tenías acceso ssh con usuario/password "fáciles"?
 - ¿Alguna aplicación web que tuviera alguna vulnerabilidad (como
sql-injection quizás, o que permita subir ficheros que luego se puedan
ejecutar por algún fallo del programa)?

Mira en los logs y si todo lo tenías con paquetes debian, instala
debsums y que te digan los ficheros que se han modificado

Nunca está de más instalar algun ids local como tripwire para
mantenerse al tanto de los cambios que se hacen en el servidor

Un saludo y ¡suerte!

Reply to:

References:
- consulta
  - From: "Alberto A. Molina M." <dickeroso@gmail.com>

Prev by Date: Re: Mi debian y 2 REDES
Next by Date: sshd+winbind
Previous by thread: Re: consulta
Next by thread: Re: consulta
Index(es):
- Date
- Thread