Re: [CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

El 29 de diciembre de 2013, 19:01, kamal majaiti kamal.majaiti@gmail.comescribió:

Mira los logs del servidor web buscando los post. plantearte pasar un escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las escuchas de los puertos usa chrootkit y rkhunter así como grep en www buscando base64 y cosas así. Primero localiza por donde entraron y hasta donde llegaron y que hicieron. El 29/12/2013 19:13, "Miguel González" miguel_3_gonzalez@yahoo.es escribió:

...

On 12/29/2013 6:24 PM, Gabriel Pinares wrote:

...

Muchas gracias.

NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada

Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.

---

This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com

This message and any attachments are intended for the use of the

addressee

...

or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete

it

...

from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.

Please consider the environment before printing this email.

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

---

CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

configura ssh para que no ingrese como root y solo el usuario determinado pueda ingresar (despues haces su - y te pasas a root). y con denyhost le pones limite al intengo de averiguar claves, y bloquea la ip por los dias que quieras. A mi me sucedio que entraban y le cambiaban los passw a los usuarios de correo electronico. Y obliga a los usuarios a usar claves fuertes