Saludos: On 10/9/07, Andres Aponte <[EMAIL PROTECTED]> wrote: > Buenas tardes lista, he sido victima de un ataque a un > sistema Debian etch, en el cual colocaron una pagina > de e-bay para phishing y esta siendo utilizado para > enviar spam con el usuario www-data, instale y ejecute > el chkrootkit y encontre varios comandos infectados > como el pstree, sh, data, ifconfig, ademas me aparecio > lo siguiente: > Searching for t0rn's v8 defaults... Possible t0rn v8 > \(or variation\) rootkit installed > > Alguien ha tenido alguna experiencia parecid? > necesariamente lo mas recomendable es reinstalar, o > puedo limpiar mi sistema de dicha infeccion sin tener > que reinstalarlo, >
Bueno, si te es posible, realiza una copia exacta de tu disco duro, para un posterior analisis. Luego de ello es cuando entran en accion tus copias de seguridad, es mejor evitarse dolores de cabeza y tener un sistema limpio. La imagen te servira para analizar las acciones sobre el sistema atacado y aprenderas un poco de forensics de paso, y la copia de seguridad de la data, para restaurarlos cuando instales el sistema limpio nuevamente y no cometer los mismos errores en base al analisis de la imagen del disco. Aqui hay un enlace donde analizan un sistema atacadao, donde han instalado el rootkit que posiblemente tengas. http://redhat.irlp.net/hack_report.html Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]