Re: ¡Virus en servidor linux!

Mauricio Rojas mrojasb2000 en gmail.com
Dom Nov 18 12:38:10 CLST 2007


Hola,

También puedes colocar los servicios en jaulas chroot (apache, ftp, smtp,
etc), esto permite prevenir accesos a áreas restringidas. como ya han
mencionado antes los supuestos virus en GNU/Linux son solo a modo de
metafóricos, debes consultar la documentación sobre seguridad y realizar las
recomendaciones mínimas del área. Por ejemplo:

1.- Descargar la ultima versión stable de la distro que utilices.
2.- Chequear el MD5 de cada archivo .ISO.
3.- Instalar desde cero, con formateo de particiones incluida.
4.- instalar chrootkits y obtener la firma del sistema base (para comparar
en el futuro).
5.- Instalar los servicios que vas a ofrecer dentro de jaulas chroot, luego
repetir el paso 4.
6.- Si prestas servicios de correo, instalar los servicios de un antivirus,
mailscanner, spamasasin, etc.. y repetir el paso 4.
7.- Respaldó de los logs a otra maquina, para futuros análisis forenses.

Luego desde otra maquina, de preferencia OpenBSD, FreeBSD y/o GNU/Linux,
implementar un sistema de monitoreo de la actividad de tu server.

Bueno y como punto centra implementar medidas de seguridad físicas
pertimetrales decentes, como NO entregar la password de root a NADIE, ya que
todo lo que te esta afectando hoy es por causa de eso.

PD: Yo pondría un firewall OpenBSD, antes de tus server, éxito seguro.

Mauricio

El día 18/11/07, Jorge Palma <jpalmae en gmail.com> escribió:
>
> On Nov 18, 2007 12:21 AM, Eduardo Aguila <eaguila en dein.cl> wrote:
> > Hola, tengo un server(debian)  y tengo sospechas de esta infectado con
> > un virus. ¿Que hago?.
> >
> > Sospecho por que:
> >
> > El server los ultimos meses le ha dado por apagarse como 1 veces al mes
> o
> > menos.
> > Un pelotudo que tenia root me confeso que ejecuto un keygen en linux,
> > pero como root!!!!!!!.
> >
> > El server basicamente es un server WEB, FTP, y como router.
> > /Y NO SE QUE HACER/, ya que si reinstalo todo, bien.
> > Pero tendria que ocupar los backups( demiles de archivos de autocad,
> > open office, pdf, ect) donde puede que el virus se aya adjuntado y al
> > restaurar el backup puedo restaurar un posible virus, que hago :(?
> > --
> > Eduardo Aguila
> > GNU/Linux software libre-> http://jamrojo.blogspot.com
> >
>
> instala chkrootkit, para ver si tienes algun rootkit instalado, que es
> mas probable que un virus para linux, por
> lo demás los antivirus para linux normalmente estan pensados para
> proteger a los equipos con windows que
> reciben servicios desde servers linux (mail, samba, etc)
>
> Salu2
>
>
> --
> Jorge Palma Escobar
> Ingeniero de Sistemas
> Red Hat Linux Certified Engineer
> Certificate Nº 804005089418233
>
>


-- 
Mauricio Rojas B.
Analista Computacional
Técnico de Redes Y Sistemas
GNU/Linux


Más información sobre la lista de distribución Linux