Problemas al bootear server Linux ... HELP PLEASE
Luis Sandoval
zerox en systat.cl
Mar Ago 8 22:08:38 CLT 2006
hola,
El mar, 08-08-2006 a las 19:01 -0400, Andrés Ruz Salinas escribió:
> Bueno lamentablemente el problema es un tema hackeo. He revisado los logs
> del sistema y he visto la cantidad de intentos para ingresar al servidor con
> algún sistema a "fuerza bruta".
:(
> El servidor lo usaron durante unos par de días sin nosotros enterarnos (lo
> se, la seguridad es muy mal) y al final modificaron el archivo "rc.sysinit"
> en e cual agregaron unas líneas de "Xntps (NTPv3 daemon)". Aún no he
> averiguado para q sirve ese proceso pero en este caso lo usaron asi es q
> seguiré investigando.
es un servidor sshd modificado.. y parte de un rootkit asi que deben haber mas programas infectados :(
> Ahora estoy viendo si puedo recuperar el sistema aunque lo mas sano creo q
> será reinstalar todo el server y paso seguido, dedicar algo de tiempo a la
> seguridad del mismo.
Si reinstalas lo primero que debes hacer es reemplazar tu Mandrake 9.1,
el que no tiene soporte desde el 31/08/2004 [1]
y cambiarlo por una distro mas ad-hoc para ser un servidor de
produccion.
Si buscas una distro libre de pago puedes ver alternativas como CentOS o
Ubuntu Server, ambas enfocadas a Servidores y con periodos de soporte
mas aceptables para mantener un servidor de produccion, que en el caso
de Ubuntu Server son 5 años [3] y en CentOS puedes tener parches de
seguridad hasta el 2012 [4]
Otras opciones son distros de pago como las que tiene RedHat, Novell o
el mismo Mandrake las que tambien ofrecen soporte por periodos de tiempo
largos, como tambien podrias considerar tener asesoria externa en el
area para no volver a tener estos problemas.
saludos,
Luis
[1] http://www.mandriva.com/security/productlifetime
[2] http://www.mandriva.com/security/advisories?dis=9.1
[3] http://www.ubuntu.com/news/606released
[4] http://www.centos.org/modules/smartfaq/faq.php?faqid=42
Más información sobre la lista de distribución Linux