[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?
Roger Pena Escobio
orkcu en yahoo.com
Dom Dic 29 17:18:56 UTC 2013
Sorry el top posting
Varias cosas que me llaman la atencion en tu email (algunas ya mencionadas)
1- por que tener la extension ssh en php ? Si lo la instalaste tu entonces quizas eso fue lo primero que hicieron despues de encontrar un hueco en alguna otra instalacion php que tengas. Si lo instalaste tu, por que ? Para cerrar ssh desde el exterior y usar php-ssh como back door ?
2- ese usuario tiene passwd ? Quizas creado para correr algo? Si ese usuario no es uid 0 entonces el daño podria no ser tan grande, a menos que tengas otro hueco que permita escalar privilegios o lo usen de puente para entrar a otros sistemas que confien en este servidor
3. Revisa el log de apache, y de las aplicaciones php que tengas instalas. Esos logs no necesaruamente estan en varlog
Recomendaciones de mi parte
1. Usa shell "nologin" para todos los usuarios que no necesiten shell
2. Habilita selinux y usa enforcement como politica.
3. Asegurate de que tu sistema y las aplicaciones php instaladas estas actualizadas
4. A menos que lo necesites. Desabilita ssh desde el mismo server
Cu
Roger
Sent from Yahoo! Mail on Android
Más información sobre la lista de distribución CentOS-es