Buenos tardes.
En mi servidor apache, sufri un ataque, el tipo metio unos programas en perl, que al ejecutar sobrecargo la red, dejo de funcionar el router por la cantidad de ancho que usava al enviar los paquetes, todo se alojo en la carpeta /tmp con permisos del apache.

Con que servicio puedo proteger mi servidor, estuve viendo el mod security, pero no encuentro mucha documentacion.

Tengo un Centos 5

Muchas gracias.

Saludos

no das mucha información de como sucedió el ataque, ¿quien instalo esos script ? ¿que hacen esos script ? de igual modo el procedimiento básico seria:

Leer los log del sistema para encontrar como se instalaron esos script
Buscar rootkit en el sistema para ver que no hayan comprometido algún binario.
Revisar las reglas del iptables y fortalecerlas si es necesario
Desactivar/desisntalar todo servicio y o aplicación innecesaria
Revisar la política de permisos de grupos y usuarios.
Instalar un IDS

La verdad no estoy seguro de como ingreso el archivo pero creo que fue por la web, por que tenia los permisos de apache, y es la segunda vez, la anterior fue un xploit tambien se copio en el /tmp, pero esa ves me descompuso todo el servidor, por la vurnerabilidad del kernel, que permitia tomar los pribilegios de root, eso lei en algun foro.

ese servidor esta en nuetra red local, y en el firewall hago un reenbio del puerto 80, nada mas,

leete los log



debes cerrarlos todos y luego abrir el 80 para redirecionar...


si no das, datos mas claros de tu arquitectura de red, que servicios corres, que aplicaciones, con que tecnología, es imposible darte ayuda, con los datos que suministras solo te puedo aconsejar que contrates a una empresa para realizar una auditoria al sistema..

Estuve mirando los log, encontre una problema de vurnerabilidad de phpmyadmin, esta pagina encontre la solucion con el mod security.

http://linux.m2osw.com/zmeu-attack
Saludos.

Gracias.

Bueno gracias por compartir la información --> abenitez si consideras que el tema fue resuelto por favor edita el primer post y agrégale al título (SOLUCIONADO) para que la ayuda que recibiste le sea útil a a otros usuarios también, mediante el uso del buscador. Gracias.

En estos casos, es mejor chrotear la pagina web, con permisos de rw para un usuario determinado, de esta forma solo se accede al "home_chroot" donde se encontraria alojada la web.
Otro mecanismo de defensa, es limitar la ejecucion de CGI por medio de apache (que por lo general es un modulo que nadie deshabilita).
Mas tips, en google los encuentras, pero mas depende de la experiencia que tengas en seguridad web y afines para esto.
Suerte
Sls