Re: Ayuda Sevidor Debian Hackeado...
El mié, 23-08-2006 a las 20:46 -0500, Hanlle Nicolas escribió: holaaa...que pena estar invadiendo la lista d edebian..con tantas preguntas simultanea..pero despues del hackeo de mi servidor dedicado con debian :( he quedado en un estado completo de caos...comienzan a surgir...mas problemas...y mas dudasahora resulta que no puedo borrar el archivo extraño .enyelkmOCULTAR.ko. nisiquiera como root. ni tengo idea aun...de como me hackearon...alguien puede colaborarmepodemos conectarnos via VNC a mi servidor dedicado..y ayudarme..a ver que ha pasado...y como borro este archivo...o contactarnos por algun cliente d emensajeria...para no esta invadiendo la lista de tantas preguntas por minutos Tienes que hacer un análisis forense. Lo mejor que puedes hacer es apagar el ordenador de tirón, sin botón ni nada, desengánchalo de la luz. Si te han metido un script para que borre huellas en el apagado, pues ya sabes. Apagando del tirón pierdes lo que hay en memoria volátil, pero ese es otro tema ya. Después deberías hacerte una imagen completa del sistema y si delante hay un notario, mejor. Si es algo importante vas a tener bastantes problemas con la ley y deberías seguir todos los pasos. Busca en internet sobre análisis forense y documéntate. Si alguien se niega a que apagues el ordenador o a llamar a una empresa para que os ayude, pues les dices que firmen un papel donde se hagan responsables de no apagar el ordenador o similar. Si te han entrado, tienes un problema. Si no sabes arreglarlo, tal vez deberías llamar a una empresa y que te realizase un análisis forense en condiciones. Todo esto va a depender de la importancia del asunto, pero si va a ser grave, llama a alguien que te pueda ayudar, tanto con el asunto como con la ley, que no suele ser trivial. -- VictorSanchez2 www.victorsanchez2.net [EMAIL PROTECTED] - signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: Ayuda Sevidor Debian Hackeado...
El Jueves, 24 de Agosto de 2006 03:46, Hanlle Nicolas escribió: holaaa...que pena estar invadiendo la lista d edebian..con tantas preguntas simultanea..pero despues del hackeo de mi servidor dedicado con debian :( he quedado en un estado completo de caos...comienzan a surgir...mas problemas...y mas dudasahora resulta que no puedo borrar el archivo extraño .enyelkmOCULTAR.ko. nisiquiera como root. ni tengo idea aun...de como me hackearon...alguien puede colaborarmepodemos conectarnos via VNC a mi servidor dedicado..y ayudarme..a ver que ha pasado...y como borro este archivo...o contactarnos por algun cliente d emensajeria...para no esta invadiendo la lista de tantas preguntas por minutos Ni te molestes. Haz una imagen de las particiones si quieres hacer un análisis post mortem, pero tu obligación como administrador es la completa reinstalación del sistema. No te preguntes, no intentes restablecer el servicio, porque NUNCA tendrás la completa seguridad de que no te la hayan clavado con queso. REINSTALA. Después, si tienes tiempo y ganas haces el análisis, para aprender de tus errores. Y no te preocupes, el administrador de sistemas que te diga que nunca ha tenido una incidencia similar te miente. PD: Puedes leer una aproximación a como se analiza un sistema crackeado (ojo, solo como aprendizaje, si fuera judicial se hace de otra manera) buscando por google: jugando con sleuthkit -- BOFH excuse #25: Decreasing electron flux pgpmwyUGMs4cw.pgp Description: PGP signature
Ayuda Sevidor Debian Hackeado...
holaaa...que pena estar invadiendo la lista d edebian..con tantas preguntas simultanea..pero despues del hackeo de mi servidor dedicado con debian :( he quedado en un estado completo de caos...comienzan a surgir...mas problemas...y mas dudasahora resulta que no puedo borrar el archivo extraño .enyelkmOCULTAR.ko. nisiquiera como root. ni tengo idea aun...de como me hackearon...alguien puede colaborarmepodemos conectarnos via VNC a mi servidor dedicado..y ayudarme..a ver que ha pasado...y como borro este archivo...o contactarnos por algun cliente d emensajeria...para no esta invadiendo la lista de tantas preguntas por minutos -- .~. ( 0 0 ) Amo la libertad.. / V \ // \\ Free as freedom /(( _))\ oo0 0ooMSN: [EMAIL PROTECTED]
Re: Ayuda Sevidor Debian Hackeado...
Saludos: On 8/23/06, Hanlle Nicolas [EMAIL PROTECTED] wrote: holaaa...que pena estar invadiendo la lista d edebian..con tantas preguntas simultanea..pero despues del hackeo de mi servidor dedicado con debian :( he quedado en un estado completo de caos...comienzan a surgir...mas problemas...y mas dudasahora resulta que no puedo borrar el archivo extraño .enyelkmOCULTAR.ko. nisiquiera como root. ni tengo idea aun...de como me hackearon...alguien puede Lo primero es conservar la calma. Lo segundo; si en tu pais hay legilacion al respecto; dar parte a las entidades pertinentes sobre este hecho. Tercero. Deberias de tener una metodologia de respuesta ante estos incidentes. Por ejemplo. Recoleccion de la evidencia volatil hasta llegar a lo menos volatil, con lo cual, deberias de realizar una imagen fiel de todo el sistema; respecto a los discos duros, copias exactas. En este punto, ya creo que la experiencia y tus conocimientos es lo que prima. Si es un server de produccion, no quiero ser aguafiestas, pero si alguien ha ingresado y hecho travesuras alli es mejor reinstalar todo de cero. Si puedes darte el tiempo de analizar los datos recolectas del sistema y ver lo que han hecho con el, y luego enmendar las fallas, pues hazlo; pero como te repito; eso te demandara tiempo de analisis. Se aprende mucho, claro ;) pero eso depende de tu situacion. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Ayuda Sevidor Debian Hackeado...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hanlle Nicolas wrote: holaaa...que pena estar invadiendo la lista d edebian..con tantas preguntas simultanea..pero despues del hackeo de mi servidor dedicado con debian :( he quedado en un estado completo de caos...comienzan a surgir...mas problemas...y mas dudasahora resulta que no puedo borrar el archivo extraño .enyelkmOCULTAR.ko. nisiquiera como root. ni tengo idea aun...de como me hackearon...alguien puede colaborarmepodemos conectarnos via VNC a mi servidor dedicado..y ayudarme..a ver que ha pasado...y como borro este archivo...o contactarnos por algun cliente d emensajeria...para no esta invadiendo la lista de tantas preguntas por minutos Verifica los atributos del archivo con: lsattr .enyelkmOCULTAR.ko puedes cambiarlos con chattr man chattr Yo te recomendaría reinstalar todo ya que es un tanto difícil verificar todo lo que te pudieron haber modificado, más aún si no tienes manera de comprobar cómo estaba tu sistema antes de que entraran. No obstante es bueno investigar la manera en que obtuvieron el acceso para prevenir un futuro ataque por el mismo método. Saludos, Alejandro Bárcena Campos -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFE7QfMpZP6bMridNYRAmqcAJ4wzJinH5DAdD3WoyzdB65BLqGcDgCgrESs dZ590guL2reuNppJkRhRWao= =QQl6 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]