[CentOS-es] Ayuda con Servidor Comprometido
David González Romero
dgrvedado en gmail.com
Lun Mayo 4 22:10:44 UTC 2015
> Puedes ser muchas cosas, en primera el mensaje como llego ? via correo, via
> log o donde ?
Es claro que todo entró por SMTP. Aunque yo me doy cuanto al hacer un
mailq y ver que tengo 49000 mensajes encola.
> Que un servidor este comprometido no quiere decir que corrar alguna
> herramienta de deteccion de rootkits y te diga "He, si fuiste comprometido".
También es claro otro de los lugares que busque con mucho detenimiento
fueron todos los archivos de cron.d/ cron.dayli/ etc.... De la misma
forma corri un AV propietario en su version trial para asegurarme por
si ClamAV está comprometido.
Sin embargo todas mis sospechas recaían en el servidor de correo y al
asegurarme que no es OPEN RALAY, dirigí mi mirada a los usuarios. Y
ahí entonces encontré que mis sospechas eran confirmadas.
Ahora estoy a la búsqueda una herramienta que cada cierto tiempo exija
al usuario cambiar la contraseña. De esta forma me aseguro de una
renovación contante de esta variable tan vulnerable.
Saludos,
David
Más información sobre la lista de distribución CentOS-es