Problemas al bootear server Linux ... HELP PLEASE

Andrés Ruz Salinas andres en efusion.tv
Mie Ago 9 10:38:00 CLT 2006 

Bueno, le agradezco cada aporte/ayuda q me han dado. 
Si se interesan por la información q dejaron estos "niños malos" 
puedo empaquetar todo y pasarlo a la lista o donde crean mejor para
Analizarlos.

Gracias.

> -----Mensaje original-----
> De: linux-bounces en listas.inf.utfsm.cl 
> [mailto:linux-bounces en listas.inf.utfsm.cl] En nombre de Horst 
> H. von Brand
> Enviado el: miércoles, 09 de agosto de 2006 9:41
> Para: Discusion de Linux en Castellano
> Asunto: Re: Problemas al bootear server Linux ... HELP PLEASE
> 
> Andrés Ruz Salinas <andres en efusion.tv> wrote:
> > Bueno lamentablemente el problema es un tema hackeo. He 
> revisado los 
> > logs del sistema y he visto la cantidad de intentos para 
> ingresar al 
> > servidor con algún sistema a "fuerza bruta".
> 
> Bien.
> 
> > El servidor lo usaron durante unos par de días sin nosotros 
> > enterarnos (lo se, la seguridad es muy mal) y al final 
> modificaron el archivo "rc.sysinit"
> > en e cual agregaron unas líneas de "Xntps (NTPv3 daemon)". 
> Aún no he 
> > averiguado para q sirve ese proceso pero en este caso lo 
> usaron asi es 
> > q seguiré investigando.
> 
> Seguramente es un nombre de fantasia para una cosa que les 
> permite entrar a gusto, o posiblemente algo mas siniestro.
> 
> Si tienes el tiempo (digamos un par de semanas) y la 
> inclinacion (cae cerca de masoquismo extremo) de analizar que 
> paso (obviamente requeriras una maquina para que se haga 
> cargo del "trabajo real" mientras), enhorabuena!
> 
> Para las tareas diarias, instala algo mas reciente (ultimo 
> Madrake, CentOS 4.3, un Ubuntu LTS) configura lo que tenias 
> nuevamente, de cero. /Nada/ de lo que hay en ese cacharro es 
> confiable a estas alturas de la telenovela.
> 
> Mis sentidas condolencias.
> 
> PS: Saber como se colaron seria interesante.Copia de Xntps 
> (de encontrarse
>     por alli) y las lineas de sysinit.rc serian bienvenidas para
>     analisis. Igual los logs del caso...
>     Cuidado, es material altamente explosivo!
> -- 
> Dr. Horst H. von Brand                   User #22616 counter.li.org
> Departamento de Informatica                     Fono: +56 32 654431
> Universidad Tecnica Federico Santa Maria              +56 32 654239
> Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513
> 
> __________ NOD32 1.1699 (20060809) Information __________
> 
> This message was checked by NOD32 antivirus system.
> http://www.eset.com
> 
>

Más información sobre la lista de distribución Linux