Debian tuvo un problema de seguridad en SSL y si fue reciente lo mas probable es que haya sido por ahí. Si estan usando algun tipo de cifrado o aplicacion dependiente de llaves públicas en Debian, ese pudo ser el caso.
Y lo otro es que en las ultimas semanas se han reportado varios bugs en modulos de los CMS mas comunes, si estas usando joomla, entonces deberias hacer un listado de cuales módulos estas usando y luego buscar en Internet para saber si alguno es vulnerable. Si no sabes nada de seguridad la forma más fácil es en un buscador poner la palabra clave del modulo de joomla y luego atacar o exploit o hackear o vuln o bug Si no hay nada relevante, entonces no es problema, si encuentras algo, entonces a leer. y por último si quieres saber que paso, trata de leer el archivo .bash_history que se encuentra en el HOME del root, si accedieron por web, entonces el archivo debe estar creado en el HOME del usuario web (www-data). Despues de eso lee los LOGS del APACHE y busca cadenas extrañas. Si el ataque fué por WEB entonces deben haber entradas sos pechosas en la fecha que ocurrio el asunto. Con la fecha puedes buscar en el syslog (/var/log/) y puedes buscar en cualquier otro registro importante, por ejemplo el authlog donde podras verificar si alguien se logueo legitimamente y podes revisar el daemon.log para saber si fue por ssh o etc. En fin, podes hacer muchas, pero ya para que?, jeje Lo importante es que asegures el sistema, lo tengas actualizado y monitorees los problemas de seguridad de tu CMS, con eso es poco probable que pase algo. Saludos y al resto, disculpan lo extenso del mensaje. El día 19 de junio de 2008 13:06, Jose Luis Rodriguez < [EMAIL PROTECTED]> escribió: > Saludos listeros, > > Bueno, sucede que hace unos días lograron hackear la pagina de inicio de la > web de la empresa en la que trabajo, la cual se encuentra alojada en un > servidor Debian etch, la verdad este evento nos hizo ver lo vulnerable que > se encuentra, y con la autorizacion del administrador de la red, que como > cosa rara no tiene ni idea de linux, revise los logs del sistema pero no > encontre nada al parecer extraño, hice un nmap y pues no hay muchos puertos > abiertos, y al mirar el estado de las iptables, pues no existen reglas. La > verdad el conocimiento que tengo en seguridad en linux es muy poco y me > gustaria saber como realizar un monitoreo para identificar, si es posible > por donde o por que medio lograron modificar la pagina, y pues ademas por > donde podria empezar para que este servidor sea lo mas seguro posible, > discupas por lo extenso del correo y agradezco links, tips y demas para > tener una idea gracias!!! > > > > _______________________________________________ > Lista de correo de Colibri > Colibri@listas.el-directorio.org > http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri > > El Directorio, el sitio del Software Libre en Colombia: > http://www.el-directorio.org > -- -------------- Fernando Quintero *Just a nonroot User*
_______________________________________________ Lista de correo de Colibri Colibri@listas.el-directorio.org http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri El Directorio, el sitio del Software Libre en Colombia: http://www.el-directorio.org