Re: server zombie
Haz lo que dice manuel y préndele fuego!! :D 2014-04-30 17:49 GMT-04:00 z3robatu caa.zerob...@gmail.com: si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. (mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail -- Carlos Albornoz C. Linux User #360502 Fono: +56997864420
Re: server zombie
+1 -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralborn...@gmail.com) wrote: Haz lo que dice manuel y préndele fuego!! :D 2014-04-30 17:49 GMT-04:00 z3robatu caa.zerob...@gmail.com: si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. (mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail -- Carlos Albornoz C. Linux User #360502 Fono: +56997864420
Re: server zombie
respalda y prende fuego, y dependiendo de lo que debas respaldar mira los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en el respaldo) ... buscar el problema o como te hackearon da para largooo y si no te manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de los programitas que estan corriendo(si es que el hacker era bueno y queria que no lo vieran)... si fue un troyano generico quizas sea mas abordable, pero lo mas sano es re-instalar y actualizar todos los programas. ademas de hacer una instalacion restringuida, configurando SELinux, servicios enjaulados, etc, eliminando herramientas de compilacion y dejando los servicios publicados con configuraciones restringuidas y seguras, con usuarios sin privilegio sobre la maquina. y despues mantener actualizada la maquna, para que evites que se colen, tambien de pasada puedes buscar un IDS de host, para registrar intrusiones. Suerte! Miguel 2014-05-05 9:51 GMT-04:00 z3robatu caa.zerob...@gmail.com: +1 -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralborn...@gmail.com) wrote: Haz lo que dice manuel y préndele fuego!! :D 2014-04-30 17:49 GMT-04:00 z3robatu caa.zerob...@gmail.com: si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. ( mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail -- Carlos Albornoz C. Linux User #360502 Fono: +56997864420 -- Miguel
Re: server zombie
Algo que puede servir, aunque es una vuelta mas larga: respalda lo respaldable, genera una maquina virtual, restaura y prueba el comportamiento despues lo pasas a producción. Saludos! El 05-05-2014 12:51, Miguel Angel escribió: respalda y prende fuego, y dependiendo de lo que debas respaldar mira los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en el respaldo) ... buscar el problema o como te hackearon da para largooo y si no te manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de los programitas que estan corriendo(si es que el hacker era bueno y queria que no lo vieran)... si fue un troyano generico quizas sea mas abordable, pero lo mas sano es re-instalar y actualizar todos los programas. ademas de hacer una instalacion restringuida, configurando SELinux, servicios enjaulados, etc, eliminando herramientas de compilacion y dejando los servicios publicados con configuraciones restringuidas y seguras, con usuarios sin privilegio sobre la maquina. y despues mantener actualizada la maquna, para que evites que se colen, tambien de pasada puedes buscar un IDS de host, para registrar intrusiones. Suerte! Miguel 2014-05-05 9:51 GMT-04:00 z3robatu caa.zerob...@gmail.com: +1 -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralborn...@gmail.com) wrote: Haz lo que dice manuel y préndele fuego!! :D 2014-04-30 17:49 GMT-04:00 z3robatu caa.zerob...@gmail.com: si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. ( mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail -- Carlos Albornoz C. Linux User #360502 Fono: +56997864420
Re: server zombie
en el server esta corriendo una aplicación rails, el código de la app esta en github así que por hay no hay problemas. cuando se levanto el server se siguió el típico tutorial paso a paso y no se toco mas, ningún firewall ni nada así que mi amigo ya aprendió la lección gracias nuevamente por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 12:51:49, Miguel Angel (joke...@gmail.com) wrote: respalda y prende fuego, y dependiendo de lo que debas respaldar mira los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en el respaldo) ... buscar el problema o como te hackearon da para largooo y si no te manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de los programitas que estan corriendo(si es que el hacker era bueno y queria que no lo vieran)... si fue un troyano generico quizas sea mas abordable, pero lo mas sano es re-instalar y actualizar todos los programas. ademas de hacer una instalacion restringuida, configurando SELinux, servicios enjaulados, etc, eliminando herramientas de compilacion y dejando los servicios publicados con configuraciones restringuidas y seguras, con usuarios sin privilegio sobre la maquina. y despues mantener actualizada la maquna, para que evites que se colen, tambien de pasada puedes buscar un IDS de host, para registrar intrusiones. Suerte! Miguel 2014-05-05 9:51 GMT-04:00 z3robatu caa.zerob...@gmail.com: +1 -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralborn...@gmail.com) wrote: Haz lo que dice manuel y préndele fuego!! :D 2014-04-30 17:49 GMT-04:00 z3robatu caa.zerob...@gmail.com: si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. ( mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail -- Carlos Albornoz C. Linux User #360502 Fono: +56997864420 -- Miguel
Re: server zombie
quema el server y a ti amigo 0=) El 5 de mayo de 2014, 12:58, z3robatu caa.zerob...@gmail.com escribió: en el server esta corriendo una aplicación rails, el código de la app esta en github así que por hay no hay problemas. cuando se levanto el server se siguió el típico tutorial paso a paso y no se toco mas, ningún firewall ni nada así que mi amigo ya aprendió la lección gracias nuevamente por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 12:51:49, Miguel Angel (joke...@gmail.com) wrote: respalda y prende fuego, y dependiendo de lo que debas respaldar mira los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en el respaldo) ... buscar el problema o como te hackearon da para largooo y si no te manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de los programitas que estan corriendo(si es que el hacker era bueno y queria que no lo vieran)... si fue un troyano generico quizas sea mas abordable, pero lo mas sano es re-instalar y actualizar todos los programas. ademas de hacer una instalacion restringuida, configurando SELinux, servicios enjaulados, etc, eliminando herramientas de compilacion y dejando los servicios publicados con configuraciones restringuidas y seguras, con usuarios sin privilegio sobre la maquina. y despues mantener actualizada la maquna, para que evites que se colen, tambien de pasada puedes buscar un IDS de host, para registrar intrusiones. Suerte! Miguel 2014-05-05 9:51 GMT-04:00 z3robatu caa.zerob...@gmail.com: +1 -- Claudio Alvarado Software Developer Sent with Airmail On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralborn...@gmail.com ) wrote: Haz lo que dice manuel y préndele fuego!! :D 2014-04-30 17:49 GMT-04:00 z3robatu caa.zerob...@gmail.com: si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. ( mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail -- Carlos Albornoz C. Linux User #360502 Fono: +56997864420 -- Miguel -- Carlos Francisco Tirado Elgueta Google Apps for Business Partner Chile http://www.chilemedios.cl
RE: server zombie
estoy viendo el script perl esta corriendo como root -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:38:35, Claudio Hormazábal Ocampo (chormaza...@ucentral.cl) wrote: Busca en los directorios en los cuales todos tienen permiso de cualquier cosa: /tmp /var/tmp Y busca archivos ocultos con ls -las Mata los procesos. Atte., Claudio Hormazábal Ocampo Administrador de Sistemas Universidad Central de Chile RHCSA, Instructor Cisco CCNA/CCNP(R)/IT-Essentials Fono: (56) (2) 2582 6059 http://claudio.hormazabal.cl -Mensaje original- De: linux-boun...@listas.inf.utfsm.cl [mailto:linux-boun...@listas.inf.utfsm.cl] En nombre de z3robatu Enviado el: miércoles, 30 de abril de 2014 17:36 Para: Discusion de Linux en Castellano Asunto: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail
RE: server zombie
Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail
RE: server zombie
si creo que sera la mejor solución esta lleno de weas mato un proceso y se corren otros, así que sera la mejor opción, gracias por la ayuda -- Claudio Alvarado Software Developer Sent with Airmail On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. (mbr...@hotmail.com) wrote: Te recomiendo respaldar la información y cambiarla a un servidor actualizado, es complejo verificar que cosas pueda tener instalada la maquina una vez hackeada. Date: Wed, 30 Apr 2014 17:36:09 -0400 From: caa.zerob...@gmail.com To: linux@listas.inf.utfsm.cl Subject: server zombie estimados help! el servidor de un colega (vps en linode) fue hackeado y tiene varios procesos corriendo enviando mail con sendmail y unos script perl corriendo (con un texto en portugués que da miedo) alguna sugerencia para poder ver donde están los script y la configuración de sendmail que esta enviando los correos para eliminarlos y cual seria los pasos a seguir para la seguridad del servidor desde ya gracias -- Claudio Alvarado Software Developer Sent with Airmail