root@http [~]# egrep -Ri IPx /var/log/* /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <= root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for glupiado@gmail.com /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx into the userZ account using password authentication /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New connection from IPx /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ is now logged in /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//public_html/fXvQhK4G.gif uploaded (10 bytes, 0.03KB/sec) /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//public_html//fXvQhK4G.gif /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded (10 bytes, 0.03KB /sec) /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ@IPx) [INFO] Logout. /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for userZ from IPx port 44021 ssh2 /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) root@http [~]#
Es posible que haya cambiado algún gif o algún, has mirado si los ficheros de tu web (si es que la tienes), han cambiado? Yo haría una busqueda por ls -lRt o algo así para ver los ficheros que han cambiado recientemente...
ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la CLAVE del inocente userZ y que al obtenerla se conectó por FTP para ONFIRMAR clave LUEGO, se conectó por SHELL con ESE USER pero a mi me parece extraño:
Accepted password for userz from IPx port 44021 ssh2
quién es 44021 ?
es el puerto desde el que la maquina del atacante hizo el SSH, nada importante
aunque sé que debo cambiar el 22 por OTRO, no lo he hecho aún.
Luego, éste atacante debería haberse conectado al 22 no al 44021
es correcto?
Si, el puerto origen del socket es 44021, pero el puerto de tu maquina es el 22.
Saludos
Miguel
--- This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.