Trás hacer las pertinente copias de seguridad de lo que había en dicho servidor (de cara a su reinstalación inminente y de cara al análisis forense que se practicó después y que aún continua), el equipo reinstaló desde cero desde fuentes confiables, y se procedió a su parcheo con todas las actualizaciones de seguridad disponibles (el servidor corre con Debian GNU/Linux 3.0).
Un análisis rápido de los logs del sistema (por suerte estaban intactos, más abajo explico el porqué), se dedujo el vector de ataque: apache. Así que el resto de servicios que corrían en dicha máquina se activarón en ese mismo instante, al quedar descartados. Ahora sólo quedaba saber a través de que web habían entrado. Inicialmente se penso en alguno de los CGIs que habia en el sistema, pero revisando los logs de las diferentes sedes web rápidamente quedo claro que era a través de la propia libertonia por donde se había llevado a cabo la intrusión.
Así que se activaron todas las sedes web restantes, dejando el host virtual de libertonia desactivado hasta investigar con más detalle el asunto. Lo cual hizó que desde las 22:45 CET DST, más o menos, en adelante, toda petición de la página de libertonia recibía la bonita página de inicio del proyecto escomposlinux.org. Espero que los hits extra nos haya hecho subir en el ranking de Google ;)
En todo caso, como he dicho antes, los logs estaban intactos gracias a una reciente actualización del kernel de dicha máquina. El intruso habia bajado al servidor un exploit de root basado en el fallo de ptrace de la serie 2.4.x del kernel, fallo que ya está corregido en la versión del kernel que ejecuta dicha máquina. Con lo cual el intruso no consiguió privilegios de root y la intrusión fue bastante contenida. Lo que si que hizo fue descargarse al servidor algunas herramientas disponibles en esta web http://infernalis.republika.pl/ (en los logs de apache quedan las trazas del uso de wget para bajarse un par de ellas), y lanzar conexiones a diestro y siniestro a una plétora de máquinas de Internet para hacer quién sabe qué con ellas o contra ellas...
Hemos parcheado Scoop para que filtre algo más las consultas SQL (sospechamos que la intrusión se ha llevado a cabo por medio de inyección de SQL, pero como he dicho antes, el análisis forense sigue en marcha) y registramos absolutamente todas las consultas realizadas a la base de datos con todo lujo de detalles (el disco es barato :), así que si vuelve por aquí esperamos poder determinar como se ha colado con más facilidad.
Lamentamos las molestias que esto haya podido causar a los asiduos de este foro, pero hemos tratado de volver lo antes posible con unas mínimas garantías de continuidad.
Saludos. Iñaki.