Análisis de un servidor Linux comprometido

El artículo (al que llego a través de un post en el blog de Schneier) como aficionado que soy me parece interesante, aunque seguramente un experto forense hubiera realizado el análisis que se describe de una forma mucho más precavida, metódica y rigurosa.

Se trata de un servidor Linux donde el primer síntoma de alarma es que apache deja de arrancar. Nada más entrar en el sistema comienzan a aparecer indicios de que ha existido un compromiso serio, aunque el autor parece bastante descuidado y ha dejado demasiadas pistas: entre otras, el sitio (polaco) de donde se descargó el backdoor, sitio que -por cierto- continúa activo y repleto de herramientas para script-kiddies...

Antes de que alguno se lleve histriónicamente las manos a la cabeza, traigo este artículo a portada para que se vea (por si no hubiera ya suficientes ejemplos recientes), que la seguridad de un servidor no depende en última instancia del sistema operativo que corre, sino del cuidado, celo y capacidad de quien lo instala, actualiza, configura y supervisa. Y también -por supuesto- de la capacidad y el empeño que ponga la parte atacante. Sólo de ese equilibrio dinámico depende el éxito o el desastre.

Fuentes:
http://www.kriptopolis.org/analisis-servidor-linux-comprometido
http://blog.gnist.org/article.php?story=HollidayCracking