Ojala que tengas un respaldo comprobado y probado antes de que este hecho haya
ocurrido.
Lo primero que debes realizar es formatear el servidor desde cero y antes de
volverlo a ponerle el cable asegurate que hayas parchado el sistema operativo,
que cierres TODOS los servicios como telnet,ftp, tftp, etc. Finalmente pon
todos los parches y la ultima versión de Apache. Y tambien considera restringir
con tu ISP la direccion o direcciones de manera que no te vuelvan a atacar.
Enviado desde mi oficina móvil BlackBerry® de Telcel
-----Original Message-----
From: Miguel Cardenas <warlock...@yahoo.com>
Date: Sun, 29 Aug 2010 19:27:44
To: Linux GLO<glo@glo.org.mx>
Reply-To: glo@glo.org.mx
Subject: [GLO] SERVIDOR HACKEADO
Hola
Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que le
hayan hecho pero modificaron el apache solo Dios sabe con que proposito y que
nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos tmp.jpg
tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache...
Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi haber
guardado porque era para ganar el root pero estaba tan emp...nojado que borre
todo y de inmediato cambie los passwords de todos mis usuarios.
Creo que es un servidor IRC de warez o una mamada asi porque todos los tmp.jpg
son archivos en perl con contenido de nicknames canales etc. Ahorita estoy
revisando con mas calma y checando que puertos hay abiertos...
Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le
metieron sin tener que resetear a instalacion default? tengo como 20 dominios
con subdominios y correos y aplicaciones que he instalado manualmente y me da
concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que hacerlo
de nuevo nimodo...
Saludos y espero sugerencias y comentarios
