Translated message

A translation of this page exists in English.

¿Que hacer si un servidor es hackeado?

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux (RHEL) todas las versiones

Issue

  • Existen motivos para creer que mi servidor fue comprometido

  • El host presenta comportamientos anormales

  • Aumento repentino en el consumo de ancho de banda y/o tráfico

  • Espacio asignado desconocido en discos

  • Nuevos usuarios/grupos creados en el sistema con nombres aleatorios

  • Se registró un acceso desconocido por SSH como root

    Jan 01 10:50:09 server sshd[444]: Accepted password for root from 61.32.27.191 port 4729 ssh2
    Jan 01 10:50:09 server sshd[444]: pam_unix(sshd:session): session opened for user root by (uid=0)
    
  • Crond no inicia

    starting crond : /bin/bash: crond:command not found
    
  • Una IP desconocida hizo login en mi sistema

Resolution

AVISO: Tenga en cuenta que Red Hat no soporta la implementación y/o el desarrollo de normas y políticas de seguridad. La información descrita en este artículo se proporciona basada en las mejores prácticas de la industria y sin garantía de ningún tipo.

Si su servidor fue comprometido, por favor, tenga en cuenta estos pasos para lograr una recuperación exitosa de la situación:

  1. Reporte la brecha de seguridad a su grupo de Seguridad, y siga sus instrucciones para preservar toda la probable evidencia requerida del incidente a fin de realizar un análisis forense apropiado. Recuerde que, a veces, esta evidencia es necesaria para los efectos legales correspondientes. Sólo continúe con los siguientes pasos si:

    • Su grupo de Seguridad no tiene un checklist para una recuperación post-incidente.
    • Su grupo de Seguridad ha leído esta solución propuesta y aprueba el procedimiento.
  2. Asegúrese de poder restaurar la configuración de los servicios que se ejecutan en el servidor comprometido. Para ello, es posible que requiera del respaldo completo de todas las configuraciones necesarias y demás archivos no ejecutables del servidor comprometido, y revisarlos uno por uno. Esto es necesario para garantizar que los archivos extraídos sean legibles con el fin de reconfigurar el servidor durante el proceso de reinstalación.

  3. Desconecte el servidor de la red, para evitar cualquier intrusión en otro servidor en la red.

  4. Revise otros servidores en la red para verificar si también sufrieron una brecha de seguridad. Cuando haga esto, por favor, tome especial cuidado con:

    • Hosts que se conectan a servicios de los servidores comprometidos y hosts a los que se conectan los servidores comprometidos para hacer uso de otros servicios.
    • Servidores en el mismo segmento de LAN.
    • Servidores que son usados para acceder a los servidores comprometidos.
  5. Reinstale su servidor comprometido y recuerde tomar atención especial de:

    • Las contraseñas usadas en el servidor, si pueden ser obtenidas por un tercero no autorizado, necesita utilizar nuevas contraseñas. Por favor, utilice diferentes contraseñas en la nueva instalación.
    • No conecte el servidor reinstalado en la red hasta que se asegure que los demás hosts en la red no están comprometidos.
    • Use contraseñas fuertes en el host,
    • Antes de llevar el servidor a producción asegúrese de haber instalado todos los parches de seguridad recomendados para la versión de su Sistema Operativo.
  6. Si el servidor expone un servicio de Internet público (por ejemplo, una aplicación web), compruebe que la aplicación es segura y no tiene fallos de seguridad que podrían facilitar la entrada no autorizada a su servidor.

  7. Considere seguir las soluciones de nuestra Knowledge Base:

Root Cause

Existen varias causas potenciales. Posiblemente:

  • Deficientes medidas de seguridad en el servidor
  • Vulnerabilidades de tipo 0-day en servicios estándares
  • Huecos de Seguridad en aplicaciones desarrolladas en casa
  • Huecos de Seguridad en aplicaciones desarrolladas por la comunidad

Diagnostic Steps

  1. El servidor tiene un comportamiento anormal.

  2. Existen archivos sospechosos en el servidor.

  3. Se encontraron binarios modificados o no se tiene la certeza de su estado. Para validar esto, puede utilizar el siguiente comando para cualquier paquete sospechoso:

    # rpm -V *package-name*
    

    O puede ejecutarlo para todos los paquetes instalados:

    # rpm -Va
    

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.