-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Jose Luis Rivas Contreras wrote: > Hanlle Nicolas escribió: > >>>tengo un servidor dedicado con DEBIAN y que lo hackearon >>>que vistehe visto que instalaron exim ftp4fall y encontre un archivo >>>/etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar >>>DOs millones de pesos..pues por este hackeo..descargaron cosas por >>>medio de mi servidor...alguien sabe que esto que encontre...:(...por >>>eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas >>>que encuentro..por ahi... >>> >>> >>>agradezco su opinion y consejos ....en estos momentos.. >>> >>> > > > Lo primero que te recomiendo es desconectar tu servidor o bloquear > absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.
Desconectar si, lo otro no por 2 motivos: + es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tan idiota para no tener en claro que debe evitar eso > > Además chequear minuciosamente los logs, sobre todo /var/log/messages y > /var/log/auth.log para ver desde donde se loguean y otras cosas. Para que? Lo urgente ahora, es establecer un servidor seguro que suplante al mutante...luego habra tiempo para investigar y juguetear. > > Verifica que los binarios que tienes instalados son los que usas, Idem del anterior: para que? > verifica los procesos con `ps` o `top`. Respalda tu info y verifica la > integridad de binarios con algo llamado debsums. Idem: para que? Si te metieron cosillas es seguro que todo eso que indicas de positivo: en que le ayudara a esta altura? (mas que para fines didacticos) > > De resto, empezar a buscar por donde entraron, como lo hicieron, que > hicieron y mantener políticas de seguridad extremas ;-). Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y ..... > > -- > > ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 > http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug > San Cristobal - Venezuela. TALUG -- http://linuxtachira.org > CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug > Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFE7Zvckw12RhFuGy4RAkMDAJ9XHCZ0TSctPjyUD7LAg6n6mDH5lQCcCRSl 8/dacVWP/zWZ+IfVVft96gI= =KTMf -----END PGP SIGNATURE-----
