¿WTF, proceso mágico automático? Si el proceso es local y se ejecuta solo; tu servidor ESTA HACKEADO
Procedimiento normal; poner en cuarentena el servidor; buscar la causa del hacking reinstalar todo de nuevo tomando las medidas necesarias para que no vuelva a ocurrir. Con respecto a detectar el hacking; lo primero es la cuarentena, luego revisión minuciosa de logs; instalar detectores de rootkits; verificar las configuraciones, etc A simple vistazo el hacking puede ser; que si tienes un web server en tu correo, haya venido por ahi, lo frustrante es que puede ser un bot el que te haya hackeado; si es ésta la situación El 10 de febrero de 2012 10:16, OrbisLogistic Sistemas < [email protected]> escribió: > ** > > Sres. buenos dias, > Tengo un problema en un servidor de correo bajo centos con > postfix+cyrus-imapd+MailScanner+lmtp+clamav+postgrey+spamassassin, el tema > es que funciona bien, inclusive lo he puesto como firewall tambien cerrando > utilizando politica por defecto DROP, pero he detectado que hay un script > que se ejecuta cada cierto tiempo y que direcciona a la siguiente direccion > http://hotule.webs.com, lo que provoca que se consuma todo el ancho de > banda y los correos lleguen muy tarde o con horas de retraso, cuando hago > un kill a ese proceso todo baja y se arregla, pero luego de 6 o 7 horas > vuelve a ejecutarse y aun mas por la madrugada, la pregunta es como debo de > hacer para que este script ya no se vuelva a ejecutar o que regla iptables > debo de usuar para bloquear la ejecucion de este script que direcciona a > esta url. > Si ha alguno de ustedes le ha sucedido algo parecido por favor me pudiera > decir como lo soluciono ya que vengo buscando en google y he probado de mil > maneras y aun nose bloquea. > Inclusive he encontrado un directorio dento /dev/shm/ llamado bili que > direcciona a esto y lo he eliminado, esperemo que no se vuelva a ejecutar > pero si hay alguna forma de bloquearlo, se lo estaria agradeciendo. > > Saludos, > > Cesar Ramos A. > Sistemas HGS > > -- > Mensaje Analizado por un Sistema Antivirus > por lo que se considera fuera de peligro. > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > -- Clever Flores Perú Linux SAC Tel: 640-5800 Anexo 104 Blog: http://www.perulinux.pe/blog/clever
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
