Eduardo Aguila escribió: > Hola, tengo un server(debian) y tengo sospechas de esta infectado con > un virus. ¿Que hago?.
Dejar de fumar cosas raras :-D > > Sospecho por que: > > El server los ultimos meses le ha dado por apagarse como 1 veces al mes o > menos. Estas seguro que no hay una falla electrica ocasional en tu red ? > Un pelotudo que tenia root me confeso que ejecuto un keygen en linux, > pero como root!!!!!!!. Un keygen que corre en linux ? ok, se que existen, aunque es raro que tengan rootkits existe la posbilidad. > El server basicamente es un server WEB, FTP, y como router. > /Y NO SE QUE HACER/, ya que si reinstalo todo, bien. revisar la instalacion electrica cuidadosamente, ponerle una UPS al tarro si es posible, si aun asi se apaga, revisar la temperatura de CPU , los coolers...si todo eso esta en orden..usar el cacharro por un rato, observar si algun comando funciona de manera extraña, esta mandando spam, o demasiado trafico hacia el exterior, revisar los logs de acceso ( ojo, que esto no significa creer lo que dicen ;) ) revisar /tmp , ver si tus aplicaciones web estan al dia, no entrar nunca en panico, todo esto sin estar conectado a la red, preferentemente instalando el disco duro en otro computador aislado, reinstalando el sistema operativo y todos sus parches en el equipo de produccion para que la supension del servicio no sea tan larga. Luego del analisis para confirmar o descartar que ha sido "crackeado" avisar a el departamente legal de tu empresa y a la policia de investigaciones. Los virus en linux existen solo como prueba de concepto, no existen "in the wild" pero si existen muchos crackers y spammers a sueldo que se dedican a comprometer servidores para actividades ilegales. -- "The only thing that interferes with my learning is my education." - Albert Einstein From [EMAIL PROTECTED] Sun Nov 18 03:22:03 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Sun Nov 18 03:52:04 2007 Subject: =?iso-8859-1?q?Re=3A_=A1Virus_en_servidor_linux!?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El 18/11/07, Eduardo Aguila <[EMAIL PROTECTED]> escribió: > Hola, tengo un server(debian) y tengo sospechas de esta infectado con > un virus. ¿Que hago?. La próxima vez que arranques, selecciona "Debian" y no "Windows". Los viruses en Linux son un proof-of-concept, y sólo hay 715 (contra los 400000 sólo para Windows XP, sin considerar los virus para 95/98 y DOS), es poquísimo. Se ha dicho repetidas veces que además requieren de un cierto software instalado y una cierta versión del kernel... O sea, tienes que ser muy salado. > Sospecho por que: > > El server los ultimos meses le ha dado por apagarse como 1 veces al mes o > menos. Revisa la corriente, mira las UPS, mira si no falla la placa. > Un pelotudo que tenia root me confeso que ejecuto un keygen en linux, > pero como root!!!!!!!. Eso se llama "rootkit", no virus. Me imaginé que podía ser algo así. Te juro que tengo risa, pero no importa. > El server basicamente es un server WEB, FTP, y como router. > /Y NO SE QUE HACER/, ya que si reinstalo todo, bien. > Pero tendria que ocupar los backups( demiles de archivos de autocad, > open office, pdf, ect) donde puede que el virus se aya adjuntado y al > restaurar el backup puedo restaurar un posible virus, que hago :(? Ehm. Recomendación en serio: DEJA DE FUMAR YERBA. Reinstala todo, instala un antivirus (ClamAV), algo para detectar rootkits (Google ayuda), y revisa los archivos de backup (sin hacer estupideces como sh archivo-openoffice.odt). De las configuraciones de tus backups no uses nada, a menos que lo revises. Lo mismo de los ejecutables: descárgalos de nuevo y comprueba los MD5 antes de instalarlos. Tus archivos .PDF, .ODT y otros, es MUY difícil que contengan al rootkit, y si lo contienen, éstos archivos no deberían ejecutarse. ...pero la recomendación más urgente es que te hagas un tratamiento antidrogas. Saludos. -- Rodrigo Fuentealba
