Il server di un cliente è stato violato la notte scorsa. È una distribuzione debian standard con mysql, apache e ssh per l'accesso remoto.
Il modo in cui è stato violato è molto particolare. L'URL standard mostrava una pagina di deface con link a nethack.alt.org. Ho cercato l'intero disco e non sono riuscito a trovare i file che sarebbero appartenuti a questa pagina danneggiata (bg.jpg es.). Inoltre, il servizio ssh e mysql non erano accessibili. Il semplice riavvio non ha aiutato.
Vedo due possibili scenari:
- Gli hacker in qualche modo hanno installato un sistema parallelo che è stato avviato al posto del debian originale.
- In qualche modo hanno reindirizzato tutto il traffico verso un altro server (indirizzo ip troppo, non solo dns)
Qualcuno ha esperienza con questo tipo di attacco? Dove posso cercare file compromessi?
Nota: reinstallerò l'intero sistema da zero, ma mi piacerebbe sapere come sono arrivati, quindi posso prevenirlo in futuro.
Modifica: informazioni aggiuntive. Questa linea è l'ultima del mio syslog quando il sistema canaglia si stava avviando al posto di quello reale.
Jan 21 08:33:09 Debian-76-wheezy-64-minimal kernel: [ 17.223513] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
In un normale avvio il mysql viene avviato in quel punto:
Jan 21 09:12:12 Debian-76-wheezy-64-minimal mysqld_safe: Starting mysqld daemon with databases from /var/lib/mysql