Re: Posible intrusión un server
Saludos:
2011/5/13 ciracusa <ciracusa@gmail.com>:
> Lista, buenas tardes.
>
> Perdón si este tema no esta directamente relacionado con Debian, pero como
> el server en cuestión tiene Squeeze y es un tema de seguridad creo que puede
> interesarles a mas de uno.
>
Siempre el tema de las seguridad, es un tema que compete a todos los
sistemas operativos y para ser más extensos, a todos los aspectos de
nuestra vida.
> Ayer viendo el history de root de un servidor veo lo siguiente:
>
>
> Que opinan?
>
> Entiendo -lamentablemente- que el server fue comprometido, pero lo que no
> llego a comprender es el alcance de esto.
>
> Notar que puse el link para que puedan descargarlo uds. también y analizarlo
> (tomando las precauciones del caso).
>
> Bueno, si alguien tiene algo de info muy agradecido.
>
> Y si pueden recomendarme algunos pasos para analizar la seguridad del server
> desde ya muchas gracias.
>
En el punto es que el server es comprometido deja de ser confiable,
y se recomienda en primera instancia realizar un forense de
computadoras, para tratar de obtener evidencia digital, y claro esta
conocer como es que tu servidor fue comprometido.
Una segunda recomendación sería reintalar de todo desde el inicio;
pero el punto aqui es que si no conoces la manera, mecanismo, forma,
etc del incidente, puede volverte a ocurrir; y claro esta esto lo
obtienes del forense de computadoras realizado.
Si tienes sistemas de registro, analizalos también como firewalls,
IDS, IPS, etc. Y si capturas el trafico de red, también te sirve para
el tema forense.
Atte:
--
Alonso Eduardo Caballero Quezada aka ReYDeS - ReYDeS@gmail.com
OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA
www.iDev.pe / www.ReYDeS.com / www.npros.com.pe / LRU #307242
Reply to: