Uno de nuestros servidores de VPS tiene una instalación de psybnc en él. La instalación ha estado presente durante bastante tiempo y ahora ha sido traída a nuestra atención. Tenemos copias de seguridad, pero también tienen psybnc en ellos. ¿Cuáles serían nuestros próximos pasos y cuál podría ser el impacto potencial de tener instalado psybnc?
Personalmente no tengo acceso a los servidores en cuestión, pero me han pedido que proporcione información sobre la situación.
PsyBNC es un IRC bouncer , es decir, un programa destinado a retransmitir comunicaciones para la red de chat IRC . Por sí mismo, es bastante benigno; utiliza parte de su CPU y ancho de banda, y puede usarse como una herramienta indirecta para transmitir datos o montar ataques de legalidad cuestionable.
La pregunta real es: dado que la instalación y el lanzamiento de este programa requieren derechos administrativos en su servidor, quien lo haya hecho podría haber hecho muchas más cosas. Entonces, ¿qué hizo él?
El impacto potencial es que este individuo no identificado instaló otras herramientas, por ejemplo, un rootkit , lo que significa que puede regresar a voluntad y controlar totalmente la máquina; ningún dato es seguro, y la máquina se puede usar en varios esquemas nefarios que podrían ser muy embarazosos para usted (hasta e incluso sumirlo en problemas legales profundos, en un escenario del peor de los casos en el que el atacante está parte de Al-Qaida y pone su máquina en conocimiento de la CIA). Como regla básica, si su máquina es rootkit, entonces ya no es su máquina.
Por lo tanto, el curso prudente es reformatear la máquina y volver a instalarla desde cero. Todas tus copias de seguridad también son sospechosas.
Nuke, nuke, nuke from orbit
Límpialos con fuego
Matar, matar, matar todos los bits < br> Para que las cosas no se vuelvan terribles
Lea otras preguntas en las etiquetas privacy malware exploit attack-prevention incident-response