¿Mi sistema ha sido hackeado?

Imagen de esvequ
0 puntos

Hace casi un año instalé para hacer pruebas y ver como se comportaba la distribución Edubuntu 6.06 LTS como servidor LAMP. Hasta la última actualización que realicé en primavera, de las que aparecen como recomendables en el escritorio con un simbolito, todo aparentemente correcto hasta el mes de julio de 2007.

El problema ha surgido con el servidor cuando observé que aparentemente se estaba empleando desde hace casi un mes, por un hipotético intruso, para “escanear” en el puerto TCP10000 equipos de otras redes ajenas a la mía. Además, he detectado en las dos últimas semanas que estaba generando un tráfico continuo inusual de 80 Mb/s, lo que hacía pensar en algún mal funcionamiento por “malware”.

Está claro que hay indicios más que suficientes para pensar que el sistema estaba comprometido pero, ¿cuál puede ser el origen? De momento he desconectado el equipo de Internet pero no sé en donde mirar y que parche emplear para solucionar el problema. ¿Alguien me puede orientar? ¿Por donde debo empezar?

 

Saludos y gracias por vuestra atención y ayuda.

Imagen de slap
+1
0
-1

Haría falta más información para saberlo.
¿Dónde has encontrado la información de que se estaba escaneando el puerto tcp 10000?

Tendrás que buscar en los logs del sistema información sobre ese supuesto intruso: direcciones IP, etc.

Revisa el syslog y las entradas que genera el comando "last", por ejemplo.

El lampp lo puedes/debes securizar ejecutando (si no lo has hecho ya): /opt/lampp/lampp security

Saludos.
slap

+1
0
-1

Saludos.

0000 start out (+FD),A
           ld  BC, +7FFF
           jp 03CB, RAM-CHECK

http://www.injiniero.es

Imagen de alvaro.alonso
+1
0
-1

el puerto tcp 10000 es el por defecto del webmin, no se si te servira de algo...

 

+1
0
-1
Imagen de jmgc
+1
0
-1

Yo no soy ningún experto en el tema pero quizá este post te pueda dar alguna idea para empezar (está en inglés):

http://blog.gnist.org/article.php?story=HollidayCracking

+1
0
-1
Imagen de javiergz vrc
+1
0
-1

Bien segun comentaste tienes cierto movimiento extraño de 80 MB/s podrias hacer varias cosas, instalar un firewall para tener mas seguridad, podrias tambien instalar un blacklist con algun software ahorita el uico del que me acuerdo es dansguardian o algo asi debe estar sourceforge, otra recomendacion seria poner el puerto en forma stealth de una forma que solo este como oyente y no omo receptor de tal forma que no lo puedan usar de una forma malefica.

Bueno espero que tengas suerte investigare lo que pueda adios! 

www.soluciones-vrc.blogspot.com

 

"No existen los problemas solo soluciones que aun no encontramos"

+1
0
-1

www.soluciones-vrc.blogspot.com

 

"No existen los problemas solo soluciones que aun no encontramos"