restaura el sistema... usa llaves en el ssh. banea despues de X intentos de
logeo fallido. solo usa los puertos necesarios y no uses servicios que no
necesites. y pues ni modo =S
El 29 de agosto de 2010 22:53, <allan_ba...@yahoo.com> escribió:
> Ojala que tengas un respaldo comprobado y probado antes de que este hecho
> haya ocurrido.
> Lo primero que debes realizar es formatear el servidor desde cero y antes
> de volverlo a ponerle el cable asegurate que hayas parchado el sistema
> operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc.
> Finalmente pon todos los parches y la ultima versión de Apache. Y tambien
> considera restringir con tu ISP la direccion o direcciones de manera que no
> te vuelvan a atacar.
> Enviado desde mi oficina móvil BlackBerry® de Telcel
>
> -----Original Message-----
> From: Miguel Cardenas <warlock...@yahoo.com>
> Date: Sun, 29 Aug 2010 19:27:44
> To: Linux GLO<glo@glo.org.mx>
> Reply-To: glo@glo.org.mx
> Subject: [GLO] SERVIDOR HACKEADO
> Hola
>
> Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que
> le
> hayan hecho pero modificaron el apache solo Dios sabe con que proposito y
> que
> nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos
> tmp.jpg
> tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache...
>
> Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi
> haber
> guardado porque era para ganar el root pero estaba tan emp...nojado que
> borre
> todo y de inmediato cambie los passwords de todos mis usuarios.
>
> Creo que es un servidor IRC de warez o una mamada asi porque todos los
> tmp.jpg
> son archivos en perl con contenido de nicknames canales etc. Ahorita estoy
> revisando con mas calma y checando que puertos hay abiertos...
>
> Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le
> metieron sin tener que resetear a instalacion default? tengo como 20
> dominios
> con subdominios y correos y aplicaciones que he instalado manualmente y me
> da
> concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que
> hacerlo
> de nuevo nimodo...
>
> Saludos y espero sugerencias y comentarios
>
>
>
>
--
(\(\
(=';')
C((")(")
3311 08 1440
TE 1|\|V1+0 4 \/3R |\/|1 BLO9
http://artzneo.blogspot.com/
