[CentOS-es] Ayuda con Servidor Comprometido
angel jauregui
darkdiabliyo en gmail.com
Lun Mayo 4 22:26:54 UTC 2015
OJO si tu server firma los correos salientes (dkim) te aconsejo cheques las
Black List para descartar que el incidente no te vaya costar mas trabajo.
Muchos usuarios que tienen websites y usan tu server como relay, es posible
tambien que les hayan metido un PHP que se ejecuta manualmente, igual por
otro servidor infectado, es una forma simple para evitar usar cron y
levantar sospechas.
Saludos !
El 4 de mayo de 2015, 17:10, David González Romero <dgrvedado en gmail.com>
escribió:
> > Puedes ser muchas cosas, en primera el mensaje como llego ? via correo,
> via
> > log o donde ?
> Es claro que todo entró por SMTP. Aunque yo me doy cuanto al hacer un
> mailq y ver que tengo 49000 mensajes encola.
>
> > Que un servidor este comprometido no quiere decir que corrar alguna
> > herramienta de deteccion de rootkits y te diga "He, si fuiste
> comprometido".
> También es claro otro de los lugares que busque con mucho detenimiento
> fueron todos los archivos de cron.d/ cron.dayli/ etc.... De la misma
> forma corri un AV propietario en su version trial para asegurarme por
> si ClamAV está comprometido.
>
> Sin embargo todas mis sospechas recaían en el servidor de correo y al
> asegurarme que no es OPEN RALAY, dirigí mi mirada a los usuarios. Y
> ahí entonces encontré que mis sospechas eran confirmadas.
>
> Ahora estoy a la búsqueda una herramienta que cada cierto tiempo exija
> al usuario cambiar la contraseña. De esta forma me aseguro de una
> renovación contante de esta variable tan vulnerable.
>
> Saludos,
> David
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es