Ayuda, borrar huellas o reportar a los administradores!?

Iniciado por Percontex, 20 Noviembre 2011, 22:33 PM

0 Miembros y 1 Visitante están viendo este tema.

Percontex

Hola,

Verán, esta es la situación, hace como un mes entre a una vps y conseguí acceso de root con un exploit ya que el kernel es de hace un par de años, nunca hice un deface en ningún sitio y tampoco nada como instalar bots, realizar DoS o cualquier cosa muy grave, solo necesitaba espiar un poco la base de datos de un sitio alojado ahí.

Bien, ayer que volví a entrar note inmediatamente que había un backdoor corriendo en el servidor en el puerto 9999! y claro que no era mio, me conecte por ahí y encontré tantos scripts, otros backdoors y algunos documentos con permiso de root con información del servidor, es obvio que alguién también entro y consiguio el acceso.

El problema es que encontre páginas en portugues que creería que son para hace pishing bancario  :-X

El sujeto ha dejado tantas huellas y basura en el servidor que es seguro que alguien lo va a encontrar, ahora no sé que hacer y temo meterme en problemas por ese sujeto, qué es mejor???.

Borrar huellas y todos los logs y dejar abandonado el servidor??, o reportarlo a los administradores y contar lo que vi diciendo que solo me dedico a eso?, observar errores y reportar?.

Mi ip solo esta cubierta por una vpn, pero en caso de una petición para ver logs creo que estoy frito  :laugh:

Cual es el mejor camino de estos dos?, en el caso de que sea borrar huellas y abandonara el servidor, cual es el mejor script para hacerlo?  :huh:

Como datos adicionales, el servidor esta en EEUU, pero yo me encuentro en un país que no tiene leyes informáticas por el momento. , la vps es pequeña, tiene solo unos 15 sitios hospedados, ninguno de mayor importancia.

adastra

Pues si reportas a los administradores del sitio, sin tomar una medidas de seguridad minimas, el que puede terminar en serios problemas legales.
Si yo fuera tu, ejecutaria un proceso de post-explotación completo, para limpiar mis huellas, registros y cuanta ***** haya dejando en el camino y concluiria el ataque. Una vez que este completamente seguro de que no hay ningun indicio de mi presencia, enviaria un mensaje de forma anonima sobre el uso inadecuado que otras personas estan teniendo sobre la máquina a los administradores del sistema.
Si necesitas tener acceso constante al sistema, intentaria defenderlo del otro atacante (aunque suene ironico) ya has identificado cual ha sido su ruta de acceso para ingresar a la máquina? si no, buscala y cierrala, corta el grifo eliminando tambien cuanto backdoor y ficheros haya dejado el atacante. Ademas tambien te recomendaria utilizar un mecanismo más seguro para preservar tu "anonimato" una red anonima te vendria bien. Entre más información tengas sobre tu "adversario" mejores acciones podras tomar.