Ojala que tengas un respaldo comprobado y probado antes de que este hecho haya ocurrido. Lo primero que debes realizar es formatear el servidor desde cero y antes de volverlo a ponerle el cable asegurate que hayas parchado el sistema operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc. Finalmente pon todos los parches y la ultima versión de Apache. Y tambien considera restringir con tu ISP la direccion o direcciones de manera que no te vuelvan a atacar. Enviado desde mi oficina móvil BlackBerry® de Telcel
-----Original Message----- From: Miguel Cardenas <warlock...@yahoo.com> Date: Sun, 29 Aug 2010 19:27:44 To: Linux GLO<glo@glo.org.mx> Reply-To: glo@glo.org.mx Subject: [GLO] SERVIDOR HACKEADO Hola Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que le hayan hecho pero modificaron el apache solo Dios sabe con que proposito y que nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos tmp.jpg tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache... Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi haber guardado porque era para ganar el root pero estaba tan emp...nojado que borre todo y de inmediato cambie los passwords de todos mis usuarios. Creo que es un servidor IRC de warez o una mamada asi porque todos los tmp.jpg son archivos en perl con contenido de nicknames canales etc. Ahorita estoy revisando con mas calma y checando que puertos hay abiertos... Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le metieron sin tener que resetear a instalacion default? tengo como 20 dominios con subdominios y correos y aplicaciones que he instalado manualmente y me da concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que hacerlo de nuevo nimodo... Saludos y espero sugerencias y comentarios