¡Virus en servidor linux!

[Cristian Rodríguez]

Eduardo Aguila escribió:
> Hola, tengo un server(debian)  y tengo sospechas de esta infectado con
> un virus. ¿Que hago?.

Dejar de fumar cosas raras :-D

> 
> Sospecho por que:
> 
> El server los ultimos meses le ha dado por apagarse como 1 veces al mes o
> menos.

Estas seguro que no hay una falla electrica ocasional en tu red ?

> Un pelotudo que tenia root me confeso que ejecuto un keygen en linux,
> pero como root!!!!!!!.

Un keygen que corre en linux ? ok, se que existen, aunque es raro que
tengan rootkits existe la posbilidad.


> El server basicamente es un server WEB, FTP, y como router.
> /Y NO SE QUE HACER/, ya que si reinstalo todo, bien.


revisar la instalacion electrica cuidadosamente, ponerle una UPS al
tarro si es posible, si aun asi se apaga, revisar la temperatura de CPU
, los coolers...si todo eso esta en orden..usar el cacharro por un rato,
observar si algun comando funciona de manera extraña, esta mandando
spam, o demasiado trafico hacia el exterior, revisar los logs de acceso
( ojo, que esto no significa creer lo que dicen ;) ) revisar /tmp , ver
si tus aplicaciones web estan al dia, no entrar nunca en panico, todo
esto sin estar conectado a la red, preferentemente instalando el disco
duro en otro computador aislado, reinstalando el sistema operativo y
todos sus parches en el equipo de produccion para que la supension del
servicio no sea tan larga.

Luego del analisis para confirmar o descartar que ha sido "crackeado"
avisar a el departamente legal de tu empresa y a la policia de
investigaciones.

Los virus en linux existen solo como prueba de concepto, no existen "in
the wild" pero si existen muchos crackers y spammers a sueldo que se
dedican a comprometer servidores para actividades ilegales.


-- 
"The only thing that interferes with my learning is my education." -
Albert Einstein