[14:07] <SergioMeneses> PabloRubianes, virusuy EduardoR CarlosNeyPastor  saludos
[14:07] <SergioMeneses> alguno ha manejado servidores web?
[14:07] <virusuy> SergioMeneses: si
[14:07] <virusuy> apache ? lighttp ? 
[14:07] <SergioMeneses> virusuy, apache
[14:08] <virusuy> que te paso ?
[14:08] <SergioMeneses> alguien entro y borro unas imagenes
[14:08] <SergioMeneses> tiene funcionando un joomla
[14:09] <virusuy> ajam
[14:09] <virusuy> si te entraron y borraron imagenes, tenes graves problemas de seguridad
[14:10] <SergioMeneses> virusuy, si... porq tienen funcionando un xampp para el servidor web
[14:10] <PabloRubianes> SergioMeneses: ese es el servidor del UbuConLA?
[14:10]  * PabloRubianes se preocupa....
[14:10] <SergioMeneses> PabloRubianes, no
[14:10] <SergioMeneses> es aqui en la oficina
[14:10] <SergioMeneses> PabloRubianes, esto ni lo monte yo =/
[14:11] <virusuy> SergioMeneses: entiendo por xampp un paquete que ya trae todo inc. verdad?
[14:11] <virusuy> apache, mysql, php, etc. 
[14:11] <SergioMeneses> virusuy, si... un atentado a la vista
[14:11] <virusuy> si
[14:11] <virusuy> eso por un lado
[14:12] <virusuy> por otro lado, como lo tenes conectado a la red a ese equipo ?
[14:12] <virusuy> tiene acceso a la red interna ? esta en una DMZ ? 
[14:12] <virusuy> podes tener comprometidos otros servidores 
[14:14] <SergioMeneses> virusuy, no hay DMZ 
[14:15] <virusuy> :-\
[14:15] <SergioMeneses> creo q solo hay un firewall
[14:15] <SergioMeneses> pero es el mismo proxy
[14:15] <virusuy> tenes audit habilitado en ese servidor ?
[14:15] <virusuy> que OS corre ?
[14:15] <SergioMeneses> virusuy, el firewall+proxy corre redhat
[14:15] <SergioMeneses> y el del problema de las imagenes es un debian
[14:15] <virusuy> ah ok
[14:16] <virusuy> no debes tener audit habilitado por defecto
[14:16] <virusuy> como tampoco seguramente tengas instalado/configurado SELinux
[14:16] <virusuy> que version de apache tiene ?
[14:21] <SergioMeneses> virusuy, -> http://systemadmin.es/2009/02/como-saber-si-selinux-esta-habilitado
[14:21] <SergioMeneses> aplica todavia?
[14:21] <virusuy> eso es para centos/redhat/fedora
[14:21] <virusuy> en debian tenes qu ehabilitarlo primero
[14:22] <virusuy> esta disabled por defecto
[14:22] <virusuy> https://wiki.debian.org/SELinux
[14:23] <virusuy> selinux te hubiera servido porque si alguien llega a ingresar a tu sistema por apache, y si esta selinux correctamente configurado, solo llegaria a poder joder apache
[14:23] <virusuy> pero mas nada
[14:23] <virusuy> maneja una espepcie de ACLs a nivel de archivos/procesos/puertos/etc
[14:23] <virusuy> y con audit, hubieras visto que archivos borró, cuando los borró, etc
[14:23] <virusuy> que usuario fue
[14:24] <virusuy> eso
[14:24] <virusuy> en conjunto con los logs de apache, podrias ver desde donde se conectaron
[14:25] <virusuy> suponiendo que fue alguien de afuera y no algun otro admin de tu trabajo
[14:25] <virusuy> si fue a su vez un scriptkiddie, seguro que elimino eso y se fue
[14:25] <virusuy> si es algiuen mas tecnico
[14:25] <virusuy> seguro tenes un backdoor :-)
[14:26] <SergioMeneses> virusuy, solucion reinstalar el servidor.... es como lo mas sano que veo y configurarlo bien
[14:26] <virusuy> SergioMeneses: la respuesta seria un "SI/NO"
[14:26] <virusuy> te pongo un ejemplo
[14:26] <virusuy> yo entro a tu server por un apache inseguro
[14:27] <virusuy> y desde ahi, al no tener separacion de redes, veo que hay otros servidores que tambien son inseguros
[14:27] <virusuy> y consigo la forma de hacerme de esos servidores tambien
[14:27] <virusuy> lo mejor seria reinstalar, y monitorear el trafico
[14:27] <virusuy> y una lista de etc.
[14:31] <SergioMeneses> virusuy, veo...
[14:31] <SergioMeneses> voy a revisar los logs de apache a ver q me dicen
[14:32] <virusuy> ok, suerte con eso :) 
[14:32] <SergioMeneses> virusuy, ojala