hola, El mar, 08-08-2006 a las 19:01 -0400, Andrés Ruz Salinas escribió: > Bueno lamentablemente el problema es un tema hackeo. He revisado los logs > del sistema y he visto la cantidad de intentos para ingresar al servidor con > algún sistema a "fuerza bruta". :(
> El servidor lo usaron durante unos par de días sin nosotros enterarnos (lo > se, la seguridad es muy mal) y al final modificaron el archivo "rc.sysinit" > en e cual agregaron unas líneas de "Xntps (NTPv3 daemon)". Aún no he > averiguado para q sirve ese proceso pero en este caso lo usaron asi es q > seguiré investigando. es un servidor sshd modificado.. y parte de un rootkit asi que deben haber mas programas infectados :( > Ahora estoy viendo si puedo recuperar el sistema aunque lo mas sano creo q > será reinstalar todo el server y paso seguido, dedicar algo de tiempo a la > seguridad del mismo. Si reinstalas lo primero que debes hacer es reemplazar tu Mandrake 9.1, el que no tiene soporte desde el 31/08/2004 [1] y cambiarlo por una distro mas ad-hoc para ser un servidor de produccion. Si buscas una distro libre de pago puedes ver alternativas como CentOS o Ubuntu Server, ambas enfocadas a Servidores y con periodos de soporte mas aceptables para mantener un servidor de produccion, que en el caso de Ubuntu Server son 5 años [3] y en CentOS puedes tener parches de seguridad hasta el 2012 [4] Otras opciones son distros de pago como las que tiene RedHat, Novell o el mismo Mandrake las que tambien ofrecen soporte por periodos de tiempo largos, como tambien podrias considerar tener asesoria externa en el area para no volver a tener estos problemas. saludos, Luis [1] http://www.mandriva.com/security/productlifetime [2] http://www.mandriva.com/security/advisories?dis=9.1 [3] http://www.ubuntu.com/news/606released [4] http://www.centos.org/modules/smartfaq/faq.php?faqid=42
