¿Por qué no puedo limpiar una máquina pirateada?

¿Por qué no puedo limpiar una máquina pirateada?


Última modificación: 12 de octubre de 2020

Visión general

Cuando una root cuenta está comprometida, los usuarios a menudo preguntan cómo pueden «limpiar» su servidor. Para decirlo de la manera más sucinta posible: sin conocer todas las acciones que han tenido lugar en un servidor, es imposible probar que el servidor está completamente limpio. Si bien es simple mostrar un servidor comprometido, mostrar lo contrario, para todos los efectos, no lo es.

Después de rootnivel de compromiso, las únicas determinaciones que se pueden hacer sobre la integridad del servidor son las siguientes:

  • El servidor ha sido pirateado.
  • El servidor aún puede estar pirateado.

Puertas traseras

Una vez que un usuario gana root acceso, pueden manipular el servidor de la forma que deseen. Esto significa que un pirata informático puede instalar varias puertas traseras, lo que les permite recuperar el acceso al servidor. El hecho de que se encuentre y elimine una puerta trasera no significa que no existan otras. Por ejemplo, un trabajo cron puede ejecutarse como root usuario y descargar una puerta trasera al /bin directorio cada día. Puede encontrar la puerta trasera en el /bin directorio, pero pierda el trabajo cron que permitirá el acceso de puerta trasera al servidor nuevamente.

Digamos que existen 100.000 archivos de propiedad raíz en su servidor Linux. Si tres de esos archivos son puertas traseras que otorgan root acceso, ¿cómo lo sabrás? Además, muchos rootkits ocultar la presencia de puertas traseras. Si un rootkit indica a su sistema operativo que oculte un archivo, es poco probable que vea el archivo en el disco. Las puertas traseras también pueden residir solo en la memoria. La mayoría de los usuarios no tienen los recursos necesarios para auditar continuamente gigabytes de memoria en busca de actividad sospechosa.

Cazadores de rootkits de terceros

Utilidades como rkhunter y chkrootkit pueden ser tan dañinos como útiles. Si bien pueden proporcionar información sobre rootkits, también pueden crear una falsa sensación de confianza y seguridad. Si rootkit La detección se realiza sin problemas cada vez, no habría necesidad de varios productos para hacerlo. Recuerde, estas utilidades comprueban conocido solo malware, y si su biblioteca de malware está desactualizada, lo harán no detectar malware desconocido. Si bien pueden realizar algunas heurísticas, también pueden proporcionar falsos positivos. Más importante aún, es simple y común que los desarrolladores de malware eludan la detección descargando estas utilidades y aprendiendo cómo funcionan.

Siempre habrá malware desconocido que nunca ha sido y nunca será detectado. El malware a menudo tiene variantes que operan de muchas formas diferentes. Sin conocer todas las variantes posibles, es imposible abordar de manera concluyente el problema.

No existe documentación oficial para el malware porque su sigilo es la forma en que sobrevive. Si bien los investigadores independientes y las compañías antivirus brindan información sobre sus hallazgos en algunos casos, no se puede garantizar que la información sea completamente precisa o completa. Una vez que esa información se divulga al público, los autores de malware pueden alterar sus programas para que funcionen de una manera nueva a fin de pasar desapercibidos.

Soluciones para lidiar con un servidor comprometido

Las únicas soluciones viables para manejar un servidor pirateado son las siguientes:

  • Migre las cuentas a un servidor limpio y reinstale el servidor pirateado.
  • Restaure el servidor a partir de una instantánea. Sin embargo, el servidor podría haberse visto comprometido mucho antes de que se conociera el problema. Si es así, esta solución aún puede dejar el servidor comprometido.

    Importante:

    Si cree que su servidor se ha visto comprometido, le recomendamos que se ponga en contacto con Soporte técnico de cPanel. Si determinamos que su servidor está comprometido, usted o el administrador del sistema deberán seguir las soluciones anteriores para resolver el problema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *