server zombie
z3robatu
caa.zerobatu en gmail.com
Lun Mayo 5 12:58:32 CLT 2014
en el server esta corriendo una aplicación rails, el código de la app esta en github así que por hay no hay problemas.
cuando se levanto el server se siguió el típico tutorial paso a paso y no se toco mas, ningún firewall ni nada así que mi amigo ya aprendió la lección
gracias nuevamente por la ayuda
--
Claudio Alvarado
Software Developer
Sent with Airmail
On 5 de mayo de 2014 at 12:51:49, Miguel Angel (jokercl en gmail.com) wrote:
respalda y prende fuego, y dependiendo de lo que debas respaldar.... mira
los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo
restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en
el respaldo)
... buscar el problema o como te hackearon da para largooo y si no te
manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los
comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de
los programitas que estan corriendo(si es que el hacker era bueno y queria
que no lo vieran)... si fue un troyano generico quizas sea mas abordable,
pero lo mas sano es re-instalar y actualizar todos los programas. ademas de
hacer una instalacion restringuida, configurando SELinux, servicios
enjaulados, etc, eliminando herramientas de compilacion y dejando los
servicios publicados con configuraciones restringuidas y seguras, con
usuarios sin privilegio sobre la maquina. y despues mantener actualizada la
maquna, para que evites que se colen, tambien de pasada puedes buscar un
IDS de host, para registrar intrusiones.
Suerte!
Miguel
2014-05-05 9:51 GMT-04:00 z3robatu <caa.zerobatu en gmail.com>:
> +1
>
> --
> Claudio Alvarado
> Software Developer
> Sent with Airmail
>
> On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralbornozc en gmail.com)
> wrote:
>
> Haz lo que dice manuel y préndele fuego!! :D
>
> 2014-04-30 17:49 GMT-04:00 z3robatu <caa.zerobatu en gmail.com>:
> > si creo que sera la mejor solución esta lleno de weas mato un proceso y
> se corren otros, así que sera la mejor opción, gracias por la ayuda
> >
> > --
> > Claudio Alvarado
> > Software Developer
> > Sent with Airmail
> >
> > On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. (
> mbrstr en hotmail.com) wrote:
> >
> > Te recomiendo respaldar la información y cambiarla a un servidor
> actualizado, es complejo verificar que cosas pueda tener instalada la
> maquina una vez hackeada.
> >
> >> Date: Wed, 30 Apr 2014 17:36:09 -0400
> >> From: caa.zerobatu en gmail.com
> >> To: linux en listas.inf.utfsm.cl
> >> Subject: server zombie
> >>
> >> estimados
> >> help!
> >> el servidor de un colega (vps en linode)
> >> fue hackeado y tiene varios procesos corriendo enviando mail con
> sendmail y unos script perl corriendo (con un texto en portugués que da
> miedo)
> >> alguna sugerencia para poder ver donde están los script y la
> configuración de sendmail que esta enviando los correos para eliminarlos
> >>
> >> y cual seria los pasos a seguir para la seguridad del servidor
> >>
> >> desde ya gracias
> >>
> >> --
> >> Claudio Alvarado
> >> Software Developer
> >> Sent with Airmail
>
>
>
> --
> Carlos Albornoz C.
> Linux User #360502
> Fono: +56997864420
>
--
Miguel
Más información sobre la lista de distribución Linux