Que buscar luego de un intento de hackeo

**mdelacruz** · 12-28-2007 12:26 PM

Hola muchachos,

Hace un par de días, hubo un intento de hackear mi server, al menos eso entiendo, y mis sistemas de seguridad lo impidieron, al menos eso espero.

La pregunta es: ¿Qué cosas debo ver y buscar para verificar si verdaderamente la seguridad del servidor funcionó correctamente?

Se que éstos señores usan mucho el /tmp para sus cosas. ¿Qué cosas debería tener este directorio o qué cosas no debería tener? Por ejemplo en el mío veo un subdirectorio PEAR ¿es ésto normal? ¿porque tiene que estar allí? Otro .horde y cpbandwidth.

Espero sus recomendaciones.

Muchas gracias!

**Piolon** · 01-02-2008 09:25 PM

Lo que hago frecuentemente es lo siguiente...

Monitorear los logs... principalmente...

/usr/local/apache/logs
en el error.log siempre encontré cómo subian los archivos y con eso me ayudaba a resolver los problemas.

Luego verifico la existencia de algunos de estos troyanos...

locate eggdrop (muy frecuente)
locate bnc (muy frecuente)
locate BNC
locate ptlink
locate BitchX
locate guardservices
locate psyBNC
locate .rhosts

Los siguientes son utilizados por cpanel, no son troyanos

/home/cpapachebuild/buildapache/php-4.3.1/ext/ircg
/usr/local/cpanel/etc/sym/eggdrop.sym
/usr/local/cpanel/etc/sym/bnc.sym
/usr/local/cpanel/etc/sym/psyBNC.sym
/usr/local/cpanel/etc/sym/ptlink.sym
/usr/lib/libncurses.so
/usr/lib/libncurses.a

Te recomiendo instalarte...

mod_security de apache
chkrootkit-0.47
algun firewall como APF
rkhunter
y finalmente nobody_check

Si alguien conoce algo más ... agradezco también todo tipo de aporte...

PD: Algunas cosas que leí y aplique...

Utilizando las configuraciones por defecto

- http://www.cpanel.net/security/commontips.htm

Pasos: 1,2,3,4,6,9

- Asegurar apache, ver archivo "Consejos para asegurar el servidor"

http://forums.theplanet.com/index.php?showtopic=45648

- Asegurar directorio /tmp con la guia "Secure Secure TMP On cPanel Servers.mht"

http://www.webtalkforums.com/showthread.php?t=2670

- Seguir la guía del archivo "A Beginner's Guide to Securing Your Server"

http://forums.cpanel.net/showthread.php?t=30159

- Seguir la guía del archivo "How-to: Determine if a server is hacked"

http://www.eth0.us/hacked

Finalmente... saludos a todos....

**auhosting** · 01-03-2008 02:16 PM

hola, buen aporte,
como haces correr nobody_check ??
via ssh conque comando.

**mdelacruz** · 01-03-2008 07:16 PM

Piolon, gracias por tus comentarios.

Mi server tiene implementada toda la seguridad que ofrece configserver.com con todos sus paquetes, por eso estoy seguro que no lograron hacer nada, porque además no he observado comportamientos extraños de consumo de memoria o cpu.

Gracias por tus aportes que están por demás muy buenos.