RE: [GLO] SERVIDOR HACKEADO

[Felipe Sanchez]

Dado que los archivos inusuales que encontro pertenecen al usuario de 
apache lo mas seguro es que el hoyo fue una vulnerabilidad en el software 
que ejecuta apache: Probablemente un script PHP (O CGI, si los usas) de la 
aplicacion de alguno de tus usuarios / dominios que estas alojando.

Si se hubiera crackeado al apache mismo entonces los archivos seguramente 
pertenecerian a root.

Hay que tener cuidado no solo con el software del sistema, sino con el 
software que suben tus usuarios. Y usar todas las caracteristicas de 
seguridad disponibles en PHP (Por ejemplo) para minimizar el da~o que 
puede hacer alguien que encuentre un hoyo en los scripts de algun usuario.


On Mon, 30 Aug 2010, Ricardo Blanco wrote:

Eso mismo te iba a decir, solo corre los servicios necesarios y asegurate de
que estén parchados con las ultimas versiones, otra cosa, no se si puedas
sacar en los logs por donde se te metieron para asegurarte mas que nada que
no vuelvan a tratar entrar por ahí

Saludos!

-----Mensaje original-----
De: artz...@gmail.com [mailto:artz...@gmail.com] En nombre de Artz Neo
Enviado el: domingo, 29 de agosto de 2010 11:27 p.m.
Para: glo@glo.org.mx; allan_ba...@yahoo.com
Asunto: Re: [GLO] SERVIDOR HACKEADO

restaura el sistema... usa llaves en el ssh. banea despues de X intentos de
logeo fallido. solo usa los puertos necesarios y no uses servicios que no
necesites. y pues ni modo =S

El 29 de agosto de 2010 22:53, <allan_ba...@yahoo.com> escribió:

Ojala que tengas un respaldo comprobado y probado antes de que este hecho
haya ocurrido.
Lo primero que debes realizar es formatear el servidor desde cero y antes
de volverlo a ponerle el cable asegurate que hayas parchado el sistema
operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc.
Finalmente pon todos los parches y la ultima versión de Apache. Y tambien
considera restringir con tu ISP la direccion o direcciones de manera que
no
te vuelvan a atacar.
Enviado desde mi oficina móvil BlackBerry® de Telcel

-----Original Message-----
From: Miguel Cardenas <warlock...@yahoo.com>
Date: Sun, 29 Aug 2010 19:27:44
To: Linux GLO<glo@glo.org.mx>
Reply-To: glo@glo.org.mx
Subject: [GLO] SERVIDOR HACKEADO
Hola

Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que
le
hayan hecho pero modificaron el apache solo Dios sabe con que proposito y
que
nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos
tmp.jpg
tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache...

Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi
haber
guardado porque era para ganar el root pero estaba tan emp...nojado que
borre
todo y de inmediato cambie los passwords de todos mis usuarios.

Creo que es un servidor IRC de warez o una mamada asi porque todos los
tmp.jpg
son archivos en perl con contenido de nicknames canales etc. Ahorita estoy
revisando con mas calma y checando que puertos hay abiertos...

Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que
le
metieron sin tener que resetear a instalacion default? tengo como 20
dominios
con subdominios y correos y aplicaciones que he instalado manualmente y me
da
concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que
hacerlo
de nuevo nimodo...

Saludos y espero sugerencias y comentarios






--
 (\(\
 (=';')
C((")(")

    3311 08 1440
TE 1|\|V1+0 4 \/3R |\/|1 BLO9
http://artzneo.blogspot.com/


!DSPAM:4c7bba1b151761725924308!