Problema de hackeo a servidor

Imagen de diegox88

Tema: 

Saludos amigos de Ecualug.

Tengo un problema con un servidor lo están usando como hosting de una página web fraudulenta de un banco americano.

Se ha creado una carpeta "1" en /var/www/icons y si la renombro o la elimino se vuelve a auto generar. Qué puedo hacer al respecto? su ayuda por favor con alguna idea, ya que tengo a la gente del banco llamando para que se les solucione el problema.

:O

Comentarios

Ciencia Forense

Imagen de acl

Cierra el kiosko inmediatamente. Apaga el host. Conecta el disco duro a otra maquina o usa un livecd.

Busca rootkits y analiza los backups (tienen backups no?) contra lo instalado. Verifica la integridad de los paquetes instalados y de los directorios.

Arranca la maquina sin conectarla a red y verifica que servicios estan corriendo, que puertos estan abiertos. Verifica las aplicaciones de php (safe_mode? register_globals?), su configuracion y la version de php y sus dependencias.

Que version de distribucion y paquetes tienes? Que servicios tenia el host?

Está instalado White Box y

Imagen de diegox88

Está instalado White Box y no lo puedo bajar ya que es un servidor q hace funciones de ruteo y hay clientes saliemdo por ahi.

El problema es que el auntiguo administrdor salio y dejo todo botado y recien es que pude recuperar la contrseña del root del servidor.

msn: diegox88@hotmail.com

Diego

Pues prueba con iptables

Imagen de falcom

Pues prueba con iptables cerrando todo exepto el pto 80 o 8080 que tienes para navegar en tu red interna supongo que tienes iptables+squid+proxy transparente.
DROP all

Invasion de servidor

Imagen de acl

La maquina esta comprometida, hay codigo externo ejecutandose que no es deseado en la maquina. Bloquear puertos no va a hacer nada de utilidad. Hay que sacar esa maquina de internet, encontrar el programa que esta creando el sitio fraudulento, cerrarlo y eliminarlo, y corregir el vector de infeccion (que puede ser una aplicacion php vulnerable o algun paquete que no ha sido actualizado o el kernel).

De hecho, lo que hay que hacer es una reinstalacion completa desde cero, pues ya nada en esa maquina es confiable. Pero igual hay que encontrar la causa y el binario culpable de la invasion y documentarlo.