[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Y mira esto es lo que me arroja el ifconfig acerca de esta interfase: eth2:9 Link encap:Ethernet HWaddr 00:80:5F:57:BC:F3 inet addr:127.255.255.255 Bcast:127.255.255.255 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:9 Base address:0x5020 Crees que con esa IP me puedan estar hackeando? El servidor es un Mandrake 9.2 Advanced Extranet Server, tiene: Apache-AdvancedExtranetServer/2.0.47 (Mandrake Linux/6mdk) mod_perl/1.99_09 Perl/v5.8.1 mod_ssl/2.0.47 OpenSSL/0.9.7b PHP/4.3.2 Yo estoy sospechando que puede ser Apache el hackeado porque ultimamente ha tenido un comportamiento muy extraño que al darle un ps -aux al server me muestra varias páginas de procesos de apache, este servidor tiene el openwebmail funcionando con el speedy_backend para acelerar los cgis del openwebmail, la vdd si tiene mucho trabajo este server, pero creo que se ha estado saliendo un poco de los parametros normales, no es de una misión crítica, sólo tiene algunos servicios como el webmail, phpMyAdmin hacia otro server con MySql, y algunas otras aplicaciones en PHP para administrar cuentas de correo de otro servidor también que es el de correo y ese esta aparte y no me ha dado problemas. En fin, tendré que agotar posibilidades a ver si lo puedo salvar antes de tener que preparar otro :S Saludos, Oscar -----Original Message----- From: ayuda-admin en linux org mx [mailto:ayuda-admin en linux org mx] On Behalf Of Max de Mendizábal Sent: Monday, May 17, 2004 4:49 PM To: Oscar Sosa; ayuda en linux org mx Subject: Re: [Ayuda] zcip Me late que si te hackearon gacho la máquina. El zcip sirve para encontrar direcciones IP libres dentro de tu red y asignársela a una interfase. En este caso eth2:9. Por ello si escribes ifconfig Te dirá que dirección consiguió el zcip. Mi sugerencia es que te bajes el http://www.chkrootkit.org/ para que veas con que te hackearon. Lo siguiente es que reinstales. No es muy sensato intentar repararlo porque es muy posible que te hayan dejado puertas traseras por todos lados. Actualiza tu servidor todos los días. Una forma de hacerlo es usando el yum, si usas Fedora. En otros operativos cambia el asunto. Saludos Max PD. Cuando reinstales, ni se te ocurra usar los mismos passwords que usabas antes. At 03:19 p.m. 17/05/2004, Oscar Sosa wrote: >Hola listeros. > >Alguien me podria iluminar diciendome si sabe que es lo que esta >haciendo exactamente este comando? > >/sbin/zcip -s -i eth2:9 > >Lo que pasa es que tengo un server pero bien spameado, no entiendo >porque si tengo absolutamente cerrado el relay para todos excepto para >el localhost, y entonces, lo que me preocupa es que en los logs aparece >que las conexiones para el envio del correo vienen precisamente del >localhost, creo que tienen pero bien abrochado este server y estoy >investigando por donde puede ir el asunto, y algo de lo que veo es ese >comando que no se exactamente que este >haciendo, se ve como que habilita una interface y de hecho al darle >ifconfig alli esta, pero no se con que fin. > >Bueno, cualquier información se las agradeceré. > >saludos, >Oscar > > > >_______________________________________________ >Ayuda mailing list >Ayuda en linux org mx >Para salir de la lista: >http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/ _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/