[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

[Gabriel Pinares]

Muchas gracias.

NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
yo no he instalado PHP SHELL
la opción "JAIL SHELL" también la tengo inhabilitada

Ah!, el host atacante dió hizo conexión a MI PUERTO 22 desde SU PUERTO 44021 ?

Al correr el comando
egrep -Ri IPx /var/log/*
obtengo los LOG de ODAS las aciones realizadas por IPx en mi sistema ?

El 29/12/13, Roger Pena Escobio <orkcu en yahoo.com> escribió:
> Sorry el top posting
>
> Varias cosas que me llaman la atencion en tu email (algunas ya mencionadas)
> 1- por que tener la extension ssh en php ? Si lo la instalaste tu  entonces
> quizas eso fue lo primero que hicieron despues de encontrar un hueco en
> alguna otra instalacion php que tengas. Si lo instalaste tu, por que ? Para
> cerrar ssh desde el exterior y usar php-ssh como back door ?
>
> 2- ese usuario tiene passwd ? Quizas creado para correr algo? Si ese usuario
> no es uid 0 entonces el daño podria no ser tan grande, a menos que tengas
> otro hueco que permita escalar privilegios o lo usen de puente para entrar a
> otros sistemas que confien en este servidor
>
> 3. Revisa el log de apache, y de las aplicaciones php que tengas instalas.
> Esos logs no necesaruamente estan en varlog
>
> Recomendaciones de mi parte
> 1. Usa shell "nologin" para todos los usuarios que no necesiten shell
> 2. Habilita selinux y usa enforcement como politica.
> 3. Asegurate de que tu sistema y las aplicaciones php instaladas estas
> actualizadas
> 4. A menos que lo necesites. Desabilita ssh desde el mismo server
>
> Cu
> Roger
>
> Sent from Yahoo! Mail on Android
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>