[Ayuda] zcip
Oscar Sosa
oscar en websitemx.com
Mar Mayo 18 08:25:38 CDT 2004
Y mira esto es lo que me arroja el ifconfig acerca de esta interfase:
eth2:9 Link encap:Ethernet HWaddr 00:80:5F:57:BC:F3
inet addr:127.255.255.255 Bcast:127.255.255.255
Mask:255.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:9 Base address:0x5020
Crees que con esa IP me puedan estar hackeando?
El servidor es un Mandrake 9.2 Advanced Extranet Server, tiene:
Apache-AdvancedExtranetServer/2.0.47 (Mandrake Linux/6mdk)
mod_perl/1.99_09 Perl/v5.8.1 mod_ssl/2.0.47 OpenSSL/0.9.7b PHP/4.3.2
Yo estoy sospechando que puede ser Apache el hackeado porque ultimamente
ha tenido un comportamiento muy extraño que al darle un ps -aux al
server me muestra varias páginas de procesos de apache, este servidor
tiene el openwebmail funcionando con el speedy_backend para acelerar los
cgis del openwebmail, la vdd si tiene mucho trabajo este server, pero
creo que se ha estado saliendo un poco de los parametros normales, no es
de una misión crítica, sólo tiene algunos servicios como el webmail,
phpMyAdmin hacia otro server con MySql, y algunas otras aplicaciones en
PHP para administrar cuentas de correo de otro servidor también que es
el de correo y ese esta aparte y no me ha dado problemas.
En fin, tendré que agotar posibilidades a ver si lo puedo salvar antes
de tener que preparar otro :S
Saludos,
Oscar
-----Original Message-----
From: ayuda-admin en linux.org.mx [mailto:ayuda-admin en linux.org.mx] On
Behalf Of Max de Mendizábal
Sent: Monday, May 17, 2004 4:49 PM
To: Oscar Sosa; ayuda en linux.org.mx
Subject: Re: [Ayuda] zcip
Me late que si te hackearon gacho la máquina. El zcip sirve para
encontrar
direcciones IP libres dentro de tu red y asignársela a una interfase. En
este caso eth2:9. Por ello si escribes
ifconfig
Te dirá que dirección consiguió el zcip. Mi sugerencia es que te bajes
el
http://www.chkrootkit.org/ para que veas con que te hackearon. Lo
siguiente
es que reinstales. No es muy sensato intentar repararlo porque es muy
posible que te hayan dejado puertas traseras por todos lados. Actualiza
tu
servidor todos los días. Una forma de hacerlo es usando el yum, si usas
Fedora. En otros operativos cambia el asunto.
Saludos
Max
PD. Cuando reinstales, ni se te ocurra usar los mismos passwords que
usabas
antes.
At 03:19 p.m. 17/05/2004, Oscar Sosa wrote:
>Hola listeros.
>
>Alguien me podria iluminar diciendome si sabe que es lo que esta
>haciendo exactamente este comando?
>
>/sbin/zcip -s -i eth2:9
>
>Lo que pasa es que tengo un server pero bien spameado, no entiendo
>porque si tengo absolutamente cerrado el relay para todos excepto para
>el localhost, y entonces, lo que me preocupa es que en los logs aparece
>que las conexiones para el envio del correo vienen precisamente del
>localhost, creo que tienen pero bien abrochado este server y estoy
>investigando por donde puede ir el asunto, y algo de lo que veo es ese
>comando que no se exactamente que este
>haciendo, se ve como que habilita una interface y de hecho al darle
>ifconfig alli esta, pero no se con que fin.
>
>Bueno, cualquier información se las agradeceré.
>
>saludos,
>Oscar
>
>
>
>_______________________________________________
>Ayuda mailing list
>Ayuda en linux.org.mx
>Para salir de la lista:
>http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista:
http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
Más información sobre la lista de distribución Ayuda