Hola Helios Pues ya tuve que reinstalar todo, el FTP sera desactivado, telnet no hay ni por error, POP3/SMTP esta desactivado todo es via web, y el SSH tambien se desactiva solo quedara para el administrador...
Desafortunadamente por la prisa ya no revise logs, tenia que alojar un nuevo sitio que desde ayer tenia que estar funcionando asi que no podia darlo de alta para despues darlo de baja y reinstalar de nuevo... En fin espero que con eso sea suficiente, y le dedico Paquita la del Barrio al hacker en cuestion jajaja Saludos y gracias por todos sus comentarios ----- Original Message ---- From: Helios Mier <helios.m...@gmail.com> To: glo@glo.org.mx Sent: Mon, August 30, 2010 11:30:59 AM Subject: Re: [GLO] SERVIDOR HACKEADO A mi me parece que lo que dide Izto fue lo que te paso, alguno de los usuarios tiene en su dominio un script vulnerable que permite la inyeccion de archivos. Con los rootkits que hay ahorita sueltos comprometiendo cajas linux tan seguido, ni siquiera te darias cuenta que estas invadido puesto que las modificaciones al kernel y los comandos de sistema no te dejarian ver nada. Veo que lo más probables es que se limite la intrusión al apache, la base de datos y los scripts de tus usuarios. Yo no reinstalaria un servidor solo por eso, pero sin embargo, no se puede estar certero hasta que no se vea en profundidad el caso para determinar por donde se metio y que fue lo que ha hecho el intruso. Eso sera lo mas importante para ti puesto que si se metieron por uno de tus dominios virtuales, al momento de reinstalar y restaurar el sistema, se te van a volver a meter en cuestion de horas. Tu orden de revision para ver por donde: 1- dominios que tienen scripts programados por ellos mismos. 2- Dominios con CMSs con versiones desactualizadas. 3- Dominios que tienen acceso ftp-telnet-ssh o con muchas cuentas de usuarios. asi que a leer logs. 2010/8/30 Miguel Cardenas <warlock...@yahoo.com> > Hola > > Pues creo que si sera la mejor opcion restaurar puesto que no se que areas > del > sistema hayan modificado o si haya un backdoor abierto, tardare mas en > averiguar > que cosas estan alteradas y corregirlas, aparte de que correria el riesgo > de no > encontrar todo y dejarlo vulnerable... afortunadamente todos los portales y > servicios son mios, pero como sea el trabajo de regenerar bases de datos, > buzones, subdominios, instalar aplicaciones que meti a mano :( > > En fin saludos y gracias por sus comentarios > > > > -- ---------------------------------------------------- Helios Mier Castillo hmier [en] ieee.org ----------------------------------------------------
