Re: MI SERVIDOR DEBIAN hackeado
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jose Luis Rivas Contreras wrote: Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT. Desconectar si, lo otro no por 2 motivos: + es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tan idiota para no tener en claro que debe evitar eso Además chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas. Para que? Lo urgente ahora, es establecer un servidor seguro que suplante al mutante...luego habra tiempo para investigar y juguetear. Verifica que los binarios que tienes instalados son los que usas, Idem del anterior: para que? verifica los procesos con `ps` o `top`. Respalda tu info y verifica la integridad de binarios con algo llamado debsums. Idem: para que? Si te metieron cosillas es seguro que todo eso que indicas de positivo: en que le ayudara a esta altura? (mas que para fines didacticos) De resto, empezar a buscar por donde entraron, como lo hicieron, que hicieron y mantener políticas de seguridad extremas ;-). Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y . -- ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFE7Zvckw12RhFuGy4RAkMDAJ9XHCZ0TSctPjyUD7LAg6n6mDH5lQCcCRSl 8/dacVWP/zWZ+IfVVft96gI= =KTMf -END PGP SIGNATURE-
Re: MI SERVIDOR DEBIAN hackeado
On 8/23/06, Hanlle Nicolas [EMAIL PROTECTED] wrote: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Es difícil dar una recomendación sin tener todos los datos. De todas formas creo que es evidente que debes reinstalar y actualizar el sistema. Si es posible hacerlo en un nuevo disco para poder analizar lo que te pasó. Además de que puede servirte en caso que tengas que entrar en algún proceso legal. Si tienes salvas de los datos todo esto debe ser más fácil. No das información sobre que funciones realizaba ese servidor. Saludos, --aneiros. -- La educación comienza en la cuna y termina en la tumba José de la Luz y Caballero
Re: MI SERVIDOR DEBIAN hackeado
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ricardo Frydman Eureka! escribió: Jose Luis Rivas Contreras wrote: Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT. Desconectar si, lo otro no por 2 motivos: + es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tan idiota para no tener en claro que debe evitar eso Además chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas. Para que? Lo urgente ahora, es establecer un servidor seguro que suplante al mutante...luego habra tiempo para investigar y juguetear. Si no sabes como se metieron y no sabes como bloquear con iptables INPUT y OUTPUT como vas a establecer un servidor seguro? Verifica que los binarios que tienes instalados son los que usas, Idem del anterior: para que? Idem del anterior :). verifica los procesos con `ps` o `top`. Respalda tu info y verifica la integridad de binarios con algo llamado debsums. Idem: para que? Si te metieron cosillas es seguro que todo eso que indicas de positivo: en que le ayudara a esta altura? (mas que para fines didacticos) Si, sería más que todo fines didácticos, pero cuando te comen TB de ancho de banda más te vale aprender bien las cosas. Siempre hay que aprender cosas nuevas... De resto, empezar a buscar por donde entraron, como lo hicieron, que hicieron y mantener políticas de seguridad extremas ;-). Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y . Y mucho :) Saludos Ricardo. -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 - -- ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFE7bwLOKCtW8rKsRgRAoIBAJ4iSXP+SBSW6313dXBMys8ISEs9PwCg1eI4 puYmBANJ1G2+5tNK05RBs9o= =Bk1F -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: MI SERVIDOR DEBIAN hackeado
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jose Luis Rivas Contreras wrote: Ricardo Frydman Eureka! escribió: Jose Luis Rivas Contreras wrote: Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT. Desconectar si, lo otro no por 2 motivos: + es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tan idiota para no tener en claro que debe evitar eso Además chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas. Para que? Lo urgente ahora, es establecer un servidor seguro que suplante al mutante...luego habra tiempo para investigar y juguetear. Si no sabes como se metieron y no sabes como bloquear con iptables INPUT y OUTPUT como vas a establecer un servidor seguro? Como se lo recomende en un correo anterior: llamando a alguien que sepa, mientras aprende observando y leyendo. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFE7b+Mkw12RhFuGy4RAnFnAJ0b4FHu46IyVX1TNbMowkcFA4lp9QCcDwwi 6W+NLHK16i/6g+kPPlSOt7M= =AsVi -END PGP SIGNATURE-
Re: MI SERVIDOR DEBIAN hackeado
Puedes aunque sea por favor listarnos que funciones realizaba este servidor antes de ser crackeado? 1- Que servicios corria? 2- Que kernel tiene? 3- Que paquetes tiene instalado?? 4- Reglas que tenia de iptables?? Si es un servidor impresindible entonces estas en un aprieto creo, que debes comenzar por anotar todas estas cosas, y ver cual fue el error o vulnerabilidad que aprovecharon, para que no te suceda, manuales de seguridad basica y avanzada en linux hay cientos en internet, para debian existe manuales oficiales sobre seguridad que puedes encontrarlos en el sitio oficial, si te falta preparacion creo que debes contratar alguna empresa o al menos plantearlo, creeme cuando el mal esta hecho es muy dificil corregirlo, debes montar tu servidor y prepararlo para que sea lo mas dificil de penetrar y esto se logra con ahinco diario, pues en caso de que se penetre cosa que no e simposible nunca al menos le cueste trabajo hacer de tus servidores un juguete. Luego si tu intension es prepararte creo que estas tarde como te dije hay cientos de manuales alla afuera esperando. Si no pues contrata algun personal que te lo haga porque lo mas importante es que las cosas funcionen y funcionen lo mejor posible.2006/8/24, Ricardo Frydman Eureka! [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE-Hash: SHA1Jose Luis Rivas Contreras wrote: Ricardo Frydman Eureka! escribió:Jose Luis Rivas Contreras wrote:Hanlle Nicolas escribió: tengo unservidor dedicado con DEBIAN y que lo hackearonque vistehe visto queinstalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagarDOs millones de pesos..pues por este hackeo..descargaron cosas pormedio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosasque encuentro..por ahi... agradezco su opinion y consejos en estos momentos..Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT.Desconectar si, lo otro no por 2 motivos:+ es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tanidiota para no tener en claro que debe evitar esoAdemás chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas.Para que? Lo urgente ahora, es establecer un servidor seguro quesuplante al mutante...luego habra tiempo para investigar y juguetear. Si no sabes como se metieron y no sabes como bloquear con iptables INPUT y OUTPUT como vas a establecer un servidor seguro?Como se lo recomende en un correo anterior: llamando a alguien que sepa, mientras aprende observando y leyendo.- --Ricardo A.FrydmanConsultor en Tecnología Open Source - Administrador de Sistemasjabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.arSIP # 1-747-667-9534-BEGIN PGP SIGNATURE-Version: GnuPG v1.4.1 (GNU/Linux)iD8DBQFE7b+Mkw12RhFuGy4RAnFnAJ0b4FHu46IyVX1TNbMowkcFA4lp9QCcDwwi 6W+NLHK16i/6g+kPPlSOt7M==AsVi-END PGP SIGNATURE-
Re: MI SERVIDOR DEBIAN hackeado
Puedes aunque sea por favor listarnos que funciones realizaba este servidor antes de ser crackeado? 1- Que servicios corria? 2- Que kernel tiene? 3- Que paquetes tiene instalado?? 4- Reglas que tenia de iptables?? Si es un servidor impresindible entonces estas en un aprieto creo, que debes comenzar por anotar todas estas cosas, y ver cual fue el error o vulnerabilidad que aprovecharon, para que no te suceda, manuales de seguridad basica y avanzada en linux hay cientos en internet, para debian existe manuales oficiales sobre seguridad que puedes encontrarlos en el sitio oficial, si te falta preparacion creo que debes contratar alguna empresa o al menos plantearlo, creeme cuando el mal esta hecho es muy dificil corregirlo, debes montar tu servidor y prepararlo para que sea lo mas dificil de penetrar y esto se logra con ahinco diario, pues en caso de que se penetre cosa que no e simposible nunca al menos le cueste trabajo hacer de tus servidores un juguete. Luego si tu intension es prepararte creo que estas tarde como te dije hay cientos de manuales alla afuera esperando. Si no pues contrata algun personal que te lo haga porque lo mas importante es que las cosas funcionen y funcionen lo mejor posible.2006/8/23, Hanlle Nicolas [EMAIL PROTECTED]: tengo unservidor dedicado con DEBIAN y que lo hackearonque vistehe visto queinstalaron exim ftp4fall y encontre un archivo/etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagarDOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...poreso tambien sospecho que cargaron modulos en mi kernel..y demas cosasque encuentro..por ahi...agradezco su opinion y consejos en estos momentos.. --To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: MI SERVIDOR DEBIAN hackeado
On Thursday 24 August 2006 11:02, Ricardo Frydman Eureka! wrote: Jose Luis Rivas Contreras wrote: Ricardo Frydman Eureka! escribió: Jose Luis Rivas Contreras wrote: Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT. Desconectar si, lo otro no por 2 motivos: + es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tan idiota para no tener en claro que debe evitar eso Además chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas. Para que? Lo urgente ahora, es establecer un servidor seguro que suplante al mutante...luego habra tiempo para investigar y juguetear. Si no sabes como se metieron y no sabes como bloquear con iptables INPUT y OUTPUT como vas a establecer un servidor seguro? Como se lo recomende en un correo anterior: llamando a alguien que sepa, mientras aprende observando y leyendo. y empieza por http://www.debian.org/doc/manuals/securing-debian-howto/ -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: MI SERVIDOR DEBIAN hackeado
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Reenviado desde mi correo, por favor darle responder a todos :) - Mensaje original Asunto: Re: MI SERVIDOR DEBIAN hackeado Fecha: Thu, 24 Aug 2006 10:52:48 -0400 De: Daniel Mery [EMAIL PROTECTED] Responder a: [EMAIL PROTECTED] Organización: ISEC Corporation Para: Jose Luis Rivas Contreras [EMAIL PROTECTED] Referencias: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Jose Luis Rivas Contreras wrote: Ricardo Frydman Eureka! escribió: Jose Luis Rivas Contreras wrote: Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT. Desconectar si, lo otro no por 2 motivos: + es evidente que el compañero no sabe como hacer eso + alguien que logro tal control sobre el servidor, no debiera ser tan idiota para no tener en claro que debe evitar eso Además chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas. Para que? Lo urgente ahora, es establecer un servidor seguro que suplante al mutante...luego habra tiempo para investigar y juguetear. Si no sabes como se metieron y no sabes como bloquear con iptables INPUT y OUTPUT como vas a establecer un servidor seguro? Verifica que los binarios que tienes instalados son los que usas, Idem del anterior: para que? Idem del anterior :). verifica los procesos con `ps` o `top`. Respalda tu info y verifica la integridad de binarios con algo llamado debsums. Idem: para que? Si te metieron cosillas es seguro que todo eso que indicas de positivo: en que le ayudara a esta altura? (mas que para fines didacticos) Si, sería más que todo fines didácticos, pero cuando te comen TB de ancho de banda más te vale aprender bien las cosas. Siempre hay que aprender cosas nuevas... De resto, empezar a buscar por donde entraron, como lo hicieron, que hicieron y mantener políticas de seguridad extremas ;-). Leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y leer y estudiar y . Y mucho :) Saludos Ricardo. -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -- ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 Me parece que recomendar estudiar y ser cuidadoso es importante, pero a veces es cuestion de darle animo al usuario en problemas. Se puede ser educativo pero por lo menos colaborar con buenos modales. Es muy importante de la manera en que se dicen las cosas, tanto como la verdad que puedan encerrar. salu2 dmery - -- - -- ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFE7c14OKCtW8rKsRgRAmZKAKDbL+tU/0sttDRthEYZZmhcbxggMwCfXjCK 8bKoGwZWH/zjfGR2bRYvWSc= =8I2w -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: MI SERVIDOR DEBIAN hackeado
nemesis nemesis escribió: Puedes aunque sea por favor listarnos que funciones realizaba este servidor antes de ser crackeado? 1- Que servicios corria? 2- Que kernel tiene? 3- Que paquetes tiene instalado?? 4- Reglas que tenia de iptables?? Si es un servidor impresindible entonces estas en un aprieto creo, que debes comenzar por anotar todas estas cosas, y ver cual fue el error o vulnerabilidad que aprovecharon, para que no te suceda, manuales de seguridad basica y avanzada en linux hay cientos en internet, para debian existe manuales oficiales sobre seguridad que puedes encontrarlos en el sitio oficial, si te falta preparacion creo que debes contratar alguna empresa o al menos plantearlo, creeme cuando el mal esta hecho es muy dificil corregirlo, debes montar tu servidor y prepararlo para que sea lo mas dificil de penetrar y esto se logra con ahinco diario, pues en caso de que se penetre cosa que no e simposible nunca al menos le cueste trabajo hacer de tus servidores un juguete. Luego si tu intension es prepararte creo que estas tarde como te dije hay cientos de manuales alla afuera esperando. Si no pues contrata algun personal que te lo haga porque lo mas importante es que las cosas funcionen y funcionen lo mejor posible. En mi experiencia personal, a nosotros nos hackearon unos servidores SUN de produccion porque se hizo el cambio de enlace dedicado a un cablemodem momentaneamente y en ese dia quedo un par de ports abiertos y nos entraron, y mi unica salida fue restaurar todo los file systems desde mis backups buenos. Es verdad, ante la duda mejor reinstalar o restaurar desde backup, Suerte -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: MI SERVIDOR DEBIAN hackeado
El mié, 23-08-2006 a las 20:18 -0500, Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. te metieron un rootkit LKM (Loadable Kernel Module) Tenes un modulo (es el archivito que nombras) metido en el kernel Consejo: REINSTALA TODO( ese rootkit entre otras cosas te permite ocultar partes de archivos, por lo que NO es conveniente reutilizar scripts) -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: MI SERVIDOR DEBIAN hackeado
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hanlle Nicolas escribió: tengo un servidor dedicado con DEBIAN y que lo hackearon que vistehe visto que instalaron exim ftp4fall y encontre un archivo /etc/.enyelkmOCULTAR.ko-- ...estoy confundido..ademas..em toca pagar DOs millones de pesos..pues por este hackeo..descargaron cosas por medio de mi servidor...alguien sabe que esto que encontre...:(...por eso tambien sospecho que cargaron modulos en mi kernel..y demas cosas que encuentro..por ahi... agradezco su opinion y consejos en estos momentos.. Lo primero que te recomiendo es desconectar tu servidor o bloquear absolutamente todo por medio de iptables, tanto INPUT como OUTPUT. Además chequear minuciosamente los logs, sobre todo /var/log/messages y /var/log/auth.log para ver desde donde se loguean y otras cosas. Verifica que los binarios que tienes instalados son los que usas, verifica los procesos con `ps` o `top`. Respalda tu info y verifica la integridad de binarios con algo llamado debsums. De resto, empezar a buscar por donde entraron, como lo hicieron, que hicieron y mantener políticas de seguridad extremas ;-). - -- ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFE7QCpOKCtW8rKsRgRAhULAKChwpc5VpXDt2dMlRPrtJYyG8hRnQCeLhMs P8cMg8/W8WVhaRcL0kTGmd4= =lA9r -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]