Problemas al bootear server Linux ... HELP PLEASE

[Luis Sandoval]

hola,

El mar, 08-08-2006 a las 19:01 -0400, Andrés Ruz Salinas escribió:
> Bueno lamentablemente el problema es un tema hackeo. He revisado los logs
> del sistema y he visto la cantidad de intentos para ingresar al servidor con
> algún sistema a "fuerza bruta".
:(

> El servidor lo usaron durante unos par de días sin nosotros enterarnos (lo
> se, la seguridad es muy mal) y al final modificaron el archivo "rc.sysinit"
> en e cual agregaron unas líneas de "Xntps (NTPv3 daemon)". Aún no he
> averiguado para q sirve ese proceso pero en este caso lo usaron asi es q
> seguiré investigando. 
es un servidor sshd modificado..  y parte de un rootkit asi que deben haber mas programas infectados :(

> Ahora estoy viendo si puedo recuperar el sistema aunque lo mas sano creo q
> será reinstalar todo el server y paso seguido, dedicar algo de tiempo a la
> seguridad del mismo.

Si reinstalas lo primero que debes hacer es reemplazar tu Mandrake 9.1,
el que no tiene soporte desde el 31/08/2004 [1]
y cambiarlo  por una distro mas ad-hoc para ser un servidor de
produccion.

Si buscas una distro libre de pago puedes ver alternativas como CentOS o
Ubuntu Server, ambas enfocadas a Servidores y con periodos de soporte
mas aceptables para mantener un servidor de produccion, que en el caso
de Ubuntu Server son 5 años [3] y en CentOS puedes tener parches de
seguridad hasta el 2012 [4]

Otras opciones son distros de pago como las que tiene RedHat, Novell o
el mismo Mandrake las que tambien ofrecen soporte por periodos de tiempo
largos, como tambien podrias considerar tener asesoria externa en el
area para no volver a tener estos problemas.

saludos,

Luis

[1] http://www.mandriva.com/security/productlifetime
[2] http://www.mandriva.com/security/advisories?dis=9.1
[3] http://www.ubuntu.com/news/606released
[4] http://www.centos.org/modules/smartfaq/faq.php?faqid=42