[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

Maxi maximiliano.duarte en gmail.com
Lun Dic 30 12:22:50 UTC 2013


El 29 de diciembre de 2013, 19:01, kamal majaiti
<kamal.majaiti en gmail.com>escribió:

> Mira los logs del servidor web buscando los post. plantearte pasar un
> escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las
> escuchas de los puertos usa chrootkit y rkhunter así como grep en www
> buscando base64 y cosas así. Primero localiza por donde entraron y hasta
> donde llegaron y que hicieron.
>  El 29/12/2013 19:13, "Miguel González" <miguel_3_gonzalez en yahoo.es>
> escribió:
>
> > On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
> > > Muchas gracias.
> > >
> > > NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
> > > yo no he instalado PHP SHELL
> > > la opción "JAIL SHELL" también la tengo inhabilitada
> > Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes
> > instalado para instalarlo.
> >
> >
> >
> > ---
> > This email is free from viruses and malware because avast! Antivirus
> > protection is active.
> > http://www.avast.com
> >
> >
> > This message and any attachments are intended for the use of the
> addressee
> > or addressees only. The unauthorised disclosure, use, dissemination or
> > copying (either in whole or in part) of its content is not permitted. If
> > you received this message in error, please notify the sender and delete
> it
> > from your system. Emails can be altered and their integrity cannot be
> > guaranteed by the sender.
> >
> > Please consider the environment before printing this email.
> >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

configura ssh para que no ingrese como root y solo el usuario determinado
pueda ingresar (despues haces su - y te pasas a root). y con denyhost le
pones limite al intengo de averiguar claves, y bloquea la ip por los dias
que quieras.
A mi me sucedio que entraban y le cambiaban los passw a los usuarios de
correo electronico.
Y obliga a los usuarios  a usar claves fuertes

-- 
El que pregunta aprende, y el que contesta aprende a responder.

No a la obsolecencia programada:
http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/392498.shtml

Linux User #495070
http://domonetic.com/blog


Más información sobre la lista de distribución CentOS-es