Encontranos en redes

Área de clientes
IncidentesForenseRecuperación6 min de lectura

Respuesta ante incidentes de seguridad

Detectar compromisos, aislar el servidor, análisis forense básico, limpieza y hardening post-incidente.

Señales de compromiso

Indicadores de que tu servidor puede estar comprometido:

  • Procesos desconocidos consumiendo CPU/RAM
  • Archivos modificados recientemente sin explicación
  • Conexiones de red a IPs desconocidas
  • Usuarios nuevos que no creaste
  • Logs borrados o con gaps temporales
  • Cron jobs que no configuraste
  • Tráfico de red inusual

Paso 1: Detectar el compromiso

bash
# Procesos sospechosos
ps aux | grep -v "\[" | sort -k3 -rn | head -20

# Conexiones de red activas
ss -tulnp
netstat -antup

# Usuarios con shell de login
grep -v '/nologin\|/false' /etc/passwd

# Últimos logins
last -20
lastb -20

# Cron jobs de todos los usuarios
for user in $(cut -f1 -d: /etc/passwd); do crontab -l -u $user 2>/dev/null; done

# Archivos modificados en las últimas 24 horas
find / -mtime -1 -type f -not -path '/proc/*' -not -path '/sys/*' 2>/dev/null

Paso 2: Aislar el servidor

Si confirmás el compromiso:

bash
# Opción 1: Bloquear todo el tráfico excepto tu IP
sudo iptables -F
sudo iptables -A INPUT -s TU_IP -j ACCEPT
sudo iptables -A INPUT -j DROP

# Opción 2: Desconectar de la red (desde el panel de Baires Host)
# Usá la consola VNC para seguir accediendo

Paso 3: Análisis forense básico

bash
# Buscar backdoors comunes
find / -name "*.php" -exec grep -l 'eval(base64_decode' {} \;
find / -name "*.php" -exec grep -l 'system(\$_' {} \;

# Verificar integridad de binarios
debsums --changed

# Buscar archivos SUID sospechosos
find / -perm -4000 -type f 2>/dev/null

# Revisar authorized_keys de todos los usuarios
find / -name authorized_keys -exec cat {} \;

# Verificar archivos en /tmp y /dev/shm
ls -la /tmp /dev/shm

Paso 4: Limpiar y restaurar

Opción A: Restaurar desde backup limpio

Si tenés backups verificados:

  1. Reinstalá el SO desde el panel de Baires Host
  2. Aplicá hardening básico
  3. Restaurá datos desde el último backup limpio
  4. Cambiá TODAS las contraseñas

Opción B: Limpieza manual

  1. Eliminá archivos maliciosos identificados
  2. Eliminá usuarios no autorizados
  3. Eliminá cron jobs sospechosos
  4. Reinstalá paquetes comprometidos: sudo apt install --reinstall paquete
  5. Cambiá todas las contraseñas y claves SSH

Paso 5: Hardening post-incidente

  • Actualizá todo el software
  • Revisá y reforzá la configuración de SSH
  • Verificá que fail2ban esté activo
  • Revisá reglas de firewall
  • Activá auditoría con auditd
  • Implementá monitoreo continuo

Cuándo contactar a soporte

Contactá al soporte de Baires Host si:

  • No podés determinar el vector de entrada
  • El compromiso afecta la infraestructura de red
  • Necesitás restaurar desde backups del proveedor
  • Sospechás que el ataque viene desde otro servidor en la red

Recomendaciones

  • Documentá todo lo que encontrés durante la investigación
  • No reinicies el servidor antes de recopilar evidencia
  • Cambiá contraseñas desde un dispositivo limpio
  • Después del incidente, implementá monitoreo proactivo
  • Considerá contratar una auditoría de seguridad profesional
¿Te resultó útil esta guía?
← Volver a Seguridad