server zombie

Christian Pedreros christian.pedreros en gmail.com
Lun Mayo 5 12:57:41 CLT 2014


Algo que puede servir, aunque es una vuelta mas larga:
respalda lo respaldable, genera una maquina virtual, restaura y prueba 
el comportamiento.... despues lo pasas a producción.
Saludos!

El 05-05-2014 12:51, Miguel Angel escribió:
> respalda y prende fuego, y dependiendo de lo que debas respaldar.... mira
> los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo
> restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en
> el respaldo)
>   ... buscar el problema o como te hackearon da para largooo y si no te
> manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los
> comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de
> los programitas que estan corriendo(si es que el hacker era bueno y queria
> que no lo vieran)... si fue un troyano generico quizas sea mas abordable,
> pero lo mas sano es re-instalar y actualizar todos los programas. ademas de
> hacer una instalacion restringuida, configurando SELinux, servicios
> enjaulados, etc, eliminando herramientas de compilacion y dejando los
> servicios publicados con configuraciones restringuidas y seguras, con
> usuarios sin privilegio sobre la maquina. y despues mantener actualizada la
> maquna, para que evites que se colen, tambien de pasada puedes buscar un
>   IDS de host, para registrar intrusiones.
>   Suerte!
>   Miguel
>
>
>
>
> 2014-05-05 9:51 GMT-04:00 z3robatu <caa.zerobatu en gmail.com>:
>
>> +1
>>
>> --
>> Claudio Alvarado
>> Software Developer
>> Sent with Airmail
>>
>> On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralbornozc en gmail.com)
>> wrote:
>>
>> Haz lo que dice manuel y préndele fuego!! :D
>>
>> 2014-04-30 17:49 GMT-04:00 z3robatu <caa.zerobatu en gmail.com>:
>>> si creo que sera la mejor solución esta lleno de weas mato un proceso y
>> se corren otros, así que sera la mejor opción, gracias por la ayuda
>>> --
>>> Claudio Alvarado
>>> Software Developer
>>> Sent with Airmail
>>>
>>> On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. (
>> mbrstr en hotmail.com) wrote:
>>> Te recomiendo respaldar la información y cambiarla a un servidor
>> actualizado, es complejo verificar que cosas pueda tener instalada la
>> maquina una vez hackeada.
>>>> Date: Wed, 30 Apr 2014 17:36:09 -0400
>>>> From: caa.zerobatu en gmail.com
>>>> To: linux en listas.inf.utfsm.cl
>>>> Subject: server zombie
>>>>
>>>> estimados
>>>> help!
>>>> el servidor de un colega (vps en linode)
>>>> fue hackeado y tiene varios procesos corriendo enviando mail con
>> sendmail y unos script perl corriendo (con un texto en portugués que da
>> miedo)
>>>> alguna sugerencia para poder ver donde están los script y la
>> configuración de sendmail que esta enviando los correos para eliminarlos
>>>> y cual seria los pasos a seguir para la seguridad del servidor
>>>>
>>>> desde ya gracias
>>>>
>>>> --
>>>> Claudio Alvarado
>>>> Software Developer
>>>> Sent with Airmail
>>
>>
>> --
>> Carlos Albornoz C.
>> Linux User #360502
>> Fono: +56997864420
>>
>
>



Más información sobre la lista de distribución Linux