Eso mismo te iba a decir, solo corre los servicios necesarios y asegurate de que estén parchados con las ultimas versiones, otra cosa, no se si puedas sacar en los logs por donde se te metieron para asegurarte mas que nada que no vuelvan a tratar entrar por ahí
Saludos! -----Mensaje original----- De: artz...@gmail.com [mailto:artz...@gmail.com] En nombre de Artz Neo Enviado el: domingo, 29 de agosto de 2010 11:27 p.m. Para: glo@glo.org.mx; allan_ba...@yahoo.com Asunto: Re: [GLO] SERVIDOR HACKEADO restaura el sistema... usa llaves en el ssh. banea despues de X intentos de logeo fallido. solo usa los puertos necesarios y no uses servicios que no necesites. y pues ni modo =S El 29 de agosto de 2010 22:53, <allan_ba...@yahoo.com> escribió: > Ojala que tengas un respaldo comprobado y probado antes de que este hecho > haya ocurrido. > Lo primero que debes realizar es formatear el servidor desde cero y antes > de volverlo a ponerle el cable asegurate que hayas parchado el sistema > operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc. > Finalmente pon todos los parches y la ultima versión de Apache. Y tambien > considera restringir con tu ISP la direccion o direcciones de manera que no > te vuelvan a atacar. > Enviado desde mi oficina móvil BlackBerry® de Telcel > > -----Original Message----- > From: Miguel Cardenas <warlock...@yahoo.com> > Date: Sun, 29 Aug 2010 19:27:44 > To: Linux GLO<glo@glo.org.mx> > Reply-To: glo@glo.org.mx > Subject: [GLO] SERVIDOR HACKEADO > Hola > > Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que > le > hayan hecho pero modificaron el apache solo Dios sabe con que proposito y > que > nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos > tmp.jpg > tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache... > > Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi > haber > guardado porque era para ganar el root pero estaba tan emp...nojado que > borre > todo y de inmediato cambie los passwords de todos mis usuarios. > > Creo que es un servidor IRC de warez o una mamada asi porque todos los > tmp.jpg > son archivos en perl con contenido de nicknames canales etc. Ahorita estoy > revisando con mas calma y checando que puertos hay abiertos... > > Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le > metieron sin tener que resetear a instalacion default? tengo como 20 > dominios > con subdominios y correos y aplicaciones que he instalado manualmente y me > da > concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que > hacerlo > de nuevo nimodo... > > Saludos y espero sugerencias y comentarios > > > > -- (\(\ (=';') C((")(") 3311 08 1440 TE 1|\|V1+0 4 \/3R |\/|1 BLO9 http://artzneo.blogspot.com/
