Hola.
Desde x IP se han logrado colar utilizando SHELL.
Al revisar el archivo
/var/log/secure
encuentro:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx port 44021 ssh2 Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session opened for user userz by (uid=0) Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session closed for user userz - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Tengo CentOs 6.4 como pueden ver han ingresado por SHELL
Ese LOG es todo lo que he hallado.
¿puedo hallar más info de las acciones que ha realizado [IPx] ? ¿cómo? / ¿dónde?
Grácias
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
Hola.
Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada.. así que es PERFECTO que estés tratando de averiguar cómo, para que puedas solucionar el hueco... excelente.
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx port 44021 ssh2 Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session opened for user userz by (uid=0) Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session closed for user userz
bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu, sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin? Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
¿puedo hallar más info de las acciones que ha realizado [IPx] ? ¿cómo? / ¿dónde?
egrep -Ri IPx /var/log/*
En caso de duda, léete TODOS los logs, buscando información sobre esta IP y/o sobre el usuario userz (que me parece creado previamente por el atacante, así que el problema posiblemente vaya por otro lado)
On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
Hola.
Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada.. así que es PERFECTO que estés tratando de averiguar cómo, para que puedas solucionar el hueco... excelente.
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx port 44021 ssh2 Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session opened for user userz by (uid=0) Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session closed for user userz
bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu, sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin? Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
Parece que han usado la extension SSH2 de PECL:
http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
Yo intentaría ver si tienes esa extension en tu sistema con una consulta al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a ciertas ips.
¿puedo hallar más info de las acciones que ha realizado [IPx] ? ¿cómo? / ¿dónde?
egrep -Ri IPx /var/log/*
En caso de duda, léete TODOS los logs, buscando información sobre esta IP y/o sobre el usuario userz (que me parece creado previamente por el atacante, así que el problema posiblemente vaya por otro lado)
Otra cosa que puedes hacer es hacer su - userz y lanzar el comando history por si el hacker ha sido tan descuidado que no ha borrado el historico de comandos.
Otra cosa, es bastante recomendable utilizar herramientas como fail2ban que permiten banear IPs que intentan hacer ataques DDOS, tambien banean IPs que rastrean tu servicio SSH.
Si necesitas ayuda profesional, yo soy freelance de sistemas.
Saludos
Miguel
--- This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
Otra cosa que puedes hacer es hacer su - userz y lanzar el comando history por si el hacker ha sido tan descuidado que no ha borrado el historico de comandos.
no, no su -... mejor less /home/userz/.bash_history verle sin meterse en el perfil del usuario.. así queda menos riesgosa la cosa.
Otra cosa, es bastante recomendable utilizar herramientas como fail2ban que permiten banear IPs que intentan hacer ataques DDOS, tambien banean IPs que rastrean tu servicio SSH.
Si necesitas ayuda profesional, yo soy freelance de sistemas.
Saludos
Miguel
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 12/29/2013 5:39 PM, "Ernesto Pérez Estévez, Ing." wrote:
Otra cosa que puedes hacer es hacer su - userz y lanzar el comando history por si el hacker ha sido tan descuidado que no ha borrado el historico de comandos.
no, no su -... mejor less /home/userz/.bash_history verle sin meterse en el perfil del usuario.. así queda menos riesgosa la cosa.
Gracias por la precisión ;-)
--- This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
Apreciados: MUCHAS GRACIAS.
Yo he creado a "userZ" userZ ha cambiaod la clave por una que desconozco.
el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta lísta de CentOs la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de CentOs
no estoy seguro, pero CREO que el comando egrep -Ri IPx /var/log/* me díce TODO lo que ha efectuado IPx en el servidor ¿correcto?
ésto es lo que he obtenido con ESE comando:
root@http [~]# egrep -Ri IPx /var/log/* /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <= root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for glupiado@gmail.com /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx into the userZ account using password authentication /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New connection from IPx /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ is now logged in /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//public_html/fXvQhK4G.gif uploaded (10 bytes, 0.03KB/sec) /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//public_html//fXvQhK4G.gif /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded (10 bytes, 0.03KB /sec) /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ@IPx) [INFO] Logout. /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for userZ from IPx port 44021 ssh2 /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) root@http [~]#
ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la CLAVE del inocente userZ y que al obtenerla se conectó por FTP para ONFIRMAR clave LUEGO, se conectó por SHELL con ESE USER pero a mi me parece extraño:
Accepted password for userz from IPx port 44021 ssh2
quién es 44021 ?
aunque sé que debo cambiar el 22 por OTRO, no lo he hecho aún.
Luego, éste atacante debería haberse conectado al 22 no al 44021
es correcto?
mas orientación por favor.
GRACIAS
El 29/12/13, Miguel González miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
Hola.
Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada.. así que es PERFECTO que estés tratando de averiguar cómo, para que puedas solucionar el hueco... excelente.
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx port 44021 ssh2 Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session opened for user userz by (uid=0) Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session closed for user userz
bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu, sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin? Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
Parece que han usado la extension SSH2 de PECL:
http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
Yo intentaría ver si tienes esa extension en tu sistema con una consulta al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a ciertas ips.
¿puedo hallar más info de las acciones que ha realizado [IPx] ? ¿cómo? / ¿dónde?
egrep -Ri IPx /var/log/*
En caso de duda, léete TODOS los logs, buscando información sobre esta IP y/o sobre el usuario userz (que me parece creado previamente por el atacante, así que el problema posiblemente vaya por otro lado)
Otra cosa que puedes hacer es hacer su - userz y lanzar el comando history por si el hacker ha sido tan descuidado que no ha borrado el historico de comandos.
Otra cosa, es bastante recomendable utilizar herramientas como fail2ban que permiten banear IPs que intentan hacer ataques DDOS, tambien banean IPs que rastrean tu servicio SSH.
Si necesitas ayuda profesional, yo soy freelance de sistemas.
Saludos
Miguel
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El archivo
/home/userz/.bash_history
NO existe fué el primero que busqué pero deconozco cómo obtener TODA acción realizada por IPx sin embargo con egrep -Ri IPx /var/log/* creo que ya tengo "TODO" o puede el hacker haber borrado el LOG ?
GRACIAS !
El 29/12/13, Gabriel Pinares glupiado@gmail.com escribió:
Apreciados: MUCHAS GRACIAS.
Yo he creado a "userZ" userZ ha cambiaod la clave por una que desconozco.
el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta lísta de CentOs la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de CentOs
no estoy seguro, pero CREO que el comando egrep -Ri IPx /var/log/* me díce TODO lo que ha efectuado IPx en el servidor ¿correcto?
ésto es lo que he obtenido con ESE comando:
root@http [~]# egrep -Ri IPx /var/log/* /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <= root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for glupiado@gmail.com /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx into the userZ account using password authentication /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New connection from IPx /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ is now logged in /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//public_html/fXvQhK4G.gif uploaded (10 bytes, 0.03KB/sec) /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//public_html//fXvQhK4G.gif /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded (10 bytes, 0.03KB /sec) /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ@IPx) [INFO] Logout. /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for userZ from IPx port 44021 ssh2 /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) root@http [~]#
ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la CLAVE del inocente userZ y que al obtenerla se conectó por FTP para ONFIRMAR clave LUEGO, se conectó por SHELL con ESE USER pero a mi me parece extraño:
Accepted password for userz from IPx port 44021 ssh2
quién es 44021 ?
aunque sé que debo cambiar el 22 por OTRO, no lo he hecho aún.
Luego, éste atacante debería haberse conectado al 22 no al 44021
es correcto?
mas orientación por favor.
GRACIAS
El 29/12/13, Miguel González miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
Hola.
Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada.. así que es PERFECTO que estés tratando de averiguar cómo, para que puedas solucionar el hueco... excelente.
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx port 44021 ssh2 Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session opened for user userz by (uid=0) Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session closed for user userz
bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu, sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin? Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
Parece que han usado la extension SSH2 de PECL:
http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
Yo intentaría ver si tienes esa extension en tu sistema con una consulta al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a ciertas ips.
¿puedo hallar más info de las acciones que ha realizado [IPx] ? ¿cómo? / ¿dónde?
egrep -Ri IPx /var/log/*
En caso de duda, léete TODOS los logs, buscando información sobre esta IP y/o sobre el usuario userz (que me parece creado previamente por el atacante, así que el problema posiblemente vaya por otro lado)
Otra cosa que puedes hacer es hacer su - userz y lanzar el comando history por si el hacker ha sido tan descuidado que no ha borrado el historico de comandos.
Otra cosa, es bastante recomendable utilizar herramientas como fail2ban que permiten banear IPs que intentan hacer ataques DDOS, tambien banean IPs que rastrean tu servicio SSH.
Si necesitas ayuda profesional, yo soy freelance de sistemas.
Saludos
Miguel
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
root@http [~]# egrep -Ri IPx /var/log/* /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <= root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for glupiado@gmail.com /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx into the userZ account using password authentication /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New connection from IPx /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ is now logged in /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//public_html/fXvQhK4G.gif uploaded (10 bytes, 0.03KB/sec) /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//public_html//fXvQhK4G.gif /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ@IPx) [NOTICE] /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded (10 bytes, 0.03KB /sec) /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ@IPx) [NOTICE] Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ@IPx) [INFO] Logout. /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for userZ from IPx port 44021 ssh2 /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) root@http [~]#
Es posible que haya cambiado algún gif o algún, has mirado si los ficheros de tu web (si es que la tienes), han cambiado? Yo haría una busqueda por ls -lRt o algo así para ver los ficheros que han cambiado recientemente...
ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la CLAVE del inocente userZ y que al obtenerla se conectó por FTP para ONFIRMAR clave LUEGO, se conectó por SHELL con ESE USER pero a mi me parece extraño:
Accepted password for userz from IPx port 44021 ssh2
quién es 44021 ?
es el puerto desde el que la maquina del atacante hizo el SSH, nada importante
aunque sé que debo cambiar el 22 por OTRO, no lo he hecho aún.
Luego, éste atacante debería haberse conectado al 22 no al 44021
es correcto?
Si, el puerto origen del socket es 44021, pero el puerto de tu maquina es el 22.
Saludos
Miguel
--- This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
Sorry el top posting
Varias cosas que me llaman la atencion en tu email (algunas ya mencionadas) 1- por que tener la extension ssh en php ? Si lo la instalaste tu entonces quizas eso fue lo primero que hicieron despues de encontrar un hueco en alguna otra instalacion php que tengas. Si lo instalaste tu, por que ? Para cerrar ssh desde el exterior y usar php-ssh como back door ?
2- ese usuario tiene passwd ? Quizas creado para correr algo? Si ese usuario no es uid 0 entonces el daño podria no ser tan grande, a menos que tengas otro hueco que permita escalar privilegios o lo usen de puente para entrar a otros sistemas que confien en este servidor
3. Revisa el log de apache, y de las aplicaciones php que tengas instalas. Esos logs no necesaruamente estan en varlog
Recomendaciones de mi parte 1. Usa shell "nologin" para todos los usuarios que no necesiten shell 2. Habilita selinux y usa enforcement como politica. 3. Asegurate de que tu sistema y las aplicaciones php instaladas estas actualizadas 4. A menos que lo necesites. Desabilita ssh desde el mismo server
Cu Roger
Sent from Yahoo! Mail on Android
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Ah!, el host atacante dió hizo conexión a MI PUERTO 22 desde SU PUERTO 44021 ?
Al correr el comando egrep -Ri IPx /var/log/* obtengo los LOG de ODAS las aciones realizadas por IPx en mi sistema ?
El 29/12/13, Roger Pena Escobio orkcu@yahoo.com escribió:
Sorry el top posting
Varias cosas que me llaman la atencion en tu email (algunas ya mencionadas) 1- por que tener la extension ssh en php ? Si lo la instalaste tu entonces quizas eso fue lo primero que hicieron despues de encontrar un hueco en alguna otra instalacion php que tengas. Si lo instalaste tu, por que ? Para cerrar ssh desde el exterior y usar php-ssh como back door ?
2- ese usuario tiene passwd ? Quizas creado para correr algo? Si ese usuario no es uid 0 entonces el daño podria no ser tan grande, a menos que tengas otro hueco que permita escalar privilegios o lo usen de puente para entrar a otros sistemas que confien en este servidor
- Revisa el log de apache, y de las aplicaciones php que tengas instalas.
Esos logs no necesaruamente estan en varlog
Recomendaciones de mi parte
- Usa shell "nologin" para todos los usuarios que no necesiten shell
- Habilita selinux y usa enforcement como politica.
- Asegurate de que tu sistema y las aplicaciones php instaladas estas
actualizadas 4. A menos que lo necesites. Desabilita ssh desde el mismo server
Cu Roger
Sent from Yahoo! Mail on Android
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.
--- This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
Mira los logs del servidor web buscando los post. plantearte pasar un escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las escuchas de los puertos usa chrootkit y rkhunter así como grep en www buscando base64 y cosas así. Primero localiza por donde entraron y hasta donde llegaron y que hicieron. El 29/12/2013 19:13, "Miguel González" miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 29 de diciembre de 2013, 19:01, kamal majaiti kamal.majaiti@gmail.comescribió:
Mira los logs del servidor web buscando los post. plantearte pasar un escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las escuchas de los puertos usa chrootkit y rkhunter así como grep en www buscando base64 y cosas así. Primero localiza por donde entraron y hasta donde llegaron y que hicieron. El 29/12/2013 19:13, "Miguel González" miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the
addressee
or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete
it
from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
configura ssh para que no ingrese como root y solo el usuario determinado pueda ingresar (despues haces su - y te pasas a root). y con denyhost le pones limite al intengo de averiguar claves, y bloquea la ip por los dias que quieras. A mi me sucedio que entraban y le cambiaban los passw a los usuarios de correo electronico. Y obliga a los usuarios a usar claves fuertes
Una breve cosilla yo en los SSH tengo esto:
Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la interface de la red
Protocol 2
PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH #StrictModes yes #MaxAuthTries 6 # Con esto se puede jugar #MaxSessions 10 # igual que con este AllowUsers fulano mengano esperansejo siclanejo # supongamos que siclanejo sea el webmaster # El tienen /sbin/nologin, sin embargo lo enjaule para entrar en su home Subsystem sftp internal-sftp Match User siclanejo X11Forwarding no ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no
Este ultimo bloque lo obligará a caer en su home /var/www/siclanejo
Es muy importante no dejar las configuraciones de fabrica.
Y solo publicar servicios que realmente sean, despues con IPTABLES yo hice iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 452 -j ACCEPT iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j REJECT iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 452 -j REJECT
Ahora si necesitas abrir el 22 o el 452 para afuera asegúrate que cambiar tu cable RSA cada cierto tiempo.
Saludos, David
P.D: Bienvenido al club de admin hackeados... jejejeje
El 30 de diciembre de 2013, 9:22, Maxi maximiliano.duarte@gmail.comescribió:
El 29 de diciembre de 2013, 19:01, kamal majaiti kamal.majaiti@gmail.comescribió:
Mira los logs del servidor web buscando los post. plantearte pasar un escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa
las
escuchas de los puertos usa chrootkit y rkhunter así como grep en www buscando base64 y cosas así. Primero localiza por donde entraron y hasta donde llegaron y que hicieron. El 29/12/2013 19:13, "Miguel González" miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the
addressee
or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted.
If
you received this message in error, please notify the sender and delete
it
from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
configura ssh para que no ingrese como root y solo el usuario determinado pueda ingresar (despues haces su - y te pasas a root). y con denyhost le pones limite al intengo de averiguar claves, y bloquea la ip por los dias que quieras. A mi me sucedio que entraban y le cambiaban los passw a los usuarios de correo electronico. Y obliga a los usuarios a usar claves fuertes
-- El que pregunta aprende, y el que contesta aprende a responder.
No a la obsolecencia programada:
http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/...
Linux User #495070 http://domonetic.com/blog _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Apreciados MUCHAS GRACIAS POR DARME ESA MANO AYUDA.
No conocía este grupo hasta AYER que me han dado estas palmadas...
Gracias!
El 30/12/13, David González Romero dgrvedado@gmail.com escribió:
Una breve cosilla yo en los SSH tengo esto:
Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la interface de la red
Protocol 2
PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH #StrictModes yes #MaxAuthTries 6 # Con esto se puede jugar #MaxSessions 10 # igual que con este AllowUsers fulano mengano esperansejo siclanejo # supongamos que siclanejo sea el webmaster # El tienen /sbin/nologin, sin embargo lo enjaule para entrar en su home Subsystem sftp internal-sftp Match User siclanejo X11Forwarding no ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no
Este ultimo bloque lo obligará a caer en su home /var/www/siclanejo
Es muy importante no dejar las configuraciones de fabrica.
Y solo publicar servicios que realmente sean, despues con IPTABLES yo hice iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 452 -j ACCEPT iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j REJECT iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 452 -j REJECT
Ahora si necesitas abrir el 22 o el 452 para afuera asegúrate que cambiar tu cable RSA cada cierto tiempo.
Saludos, David
P.D: Bienvenido al club de admin hackeados... jejejeje
El 30 de diciembre de 2013, 9:22, Maxi maximiliano.duarte@gmail.comescribió:
El 29 de diciembre de 2013, 19:01, kamal majaiti kamal.majaiti@gmail.comescribió:
Mira los logs del servidor web buscando los post. plantearte pasar un escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa
las
escuchas de los puertos usa chrootkit y rkhunter así como grep en www buscando base64 y cosas así. Primero localiza por donde entraron y hasta donde llegaron y que hicieron. El 29/12/2013 19:13, "Miguel González" miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the
addressee
or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted.
If
you received this message in error, please notify the sender and delete
it
from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
configura ssh para que no ingrese como root y solo el usuario determinado pueda ingresar (despues haces su - y te pasas a root). y con denyhost le pones limite al intengo de averiguar claves, y bloquea la ip por los dias que quieras. A mi me sucedio que entraban y le cambiaban los passw a los usuarios de correo electronico. Y obliga a los usuarios a usar claves fuertes
-- El que pregunta aprende, y el que contesta aprende a responder.
No a la obsolecencia programada:
http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/...
Linux User #495070 http://domonetic.com/blog _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
- A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH por completo? Y como accedes a tu servidor? A no ser que este servidor este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra cosa, deshabilita el acceso root al SSH en el sshd_config y es recomendable utilizar claves RSA para loguearte en vez de usando password.
Saludos
Miguel
--- This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
On 12/29/2013 12:24 PM, Miguel González wrote:
- A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH por completo? Y como accedes a tu servidor? A no ser que este servidor este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra cosa, deshabilita el acceso root al SSH en el sshd_config y es recomendable utilizar claves RSA para loguearte en vez de usando password.
por eso indicó a menos que se requiriera.. pero aún cuando se requiera puedes endurecer el acceso permitiendo solamente a un grupo selecto y pequeño de usuarios hacer ssh, evitando hagan ssh como root, o permitiendo solamente accesos como root con sistema de clave publica/privada... bloqueando por IP los accesos (desde firewall) o muchas variantes más. pero no por defecto
Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial. De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y reiniciar.
Saludos, David
El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." < ernesto.perez@cedia.org.ec> escribió:
On 12/29/2013 12:24 PM, Miguel González wrote:
- A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH por completo? Y como accedes a tu servidor? A no ser que este servidor este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra cosa, deshabilita el acceso root al SSH en el sshd_config y es recomendable utilizar claves RSA para loguearte en vez de usando
password.
por eso indicó a menos que se requiriera.. pero aún cuando se requiera puedes endurecer el acceso permitiendo solamente a un grupo selecto y pequeño de usuarios hacer ssh, evitando hagan ssh como root, o permitiendo solamente accesos como root con sistema de clave publica/privada... bloqueando por IP los accesos (desde firewall) o muchas variantes más. pero no por defecto
--
Ernesto Pérez +593 9 9924 6504 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 12/30/2013 03:09 PM, David González Romero wrote:
Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial. De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y reiniciar.
otra variante es port-knocking..
sin ebmargo! esto del ssh fue una consecuencia aparentemente, no fue la causa.. pienso que pudo entrar por otro servicio primero.. por ftp me parecería... eso debe validarlo él que tiene todos los logs por ahi.
Y de que es clave débil, debe ser clave débil.
he leido muchos correos quisiera dejar algunos tips para que no pierdan el camino.
1.- nunca volverse loco por algo asi, mientras mas aprendan mas paranoicos seran es mejor aprender a controlar eso desde ya.
2.- siempre que instalen un server deben firmar los archivos con tripware o aide, antes de colocarlo en producción.
al revisar la firmas de los archivos con tu base de datos del software si modifican un binario aparece de inmediato identificado.
3.- el comando ps siempre es el primer comando que se modifica, les recomiendo siempre mirar con lsoft -i no confien el el ps ya que es comun que lo modifiquen.
4.- usar rkhunter, nose su severidad en el funcionamiento, pero algo que me gustan son mails que envía.
5.- si detectas una ip con conexión extraña usa iptables y dropeala de forma permanente.
6.- en los logs busca la palabra wget para buscar las descargas de sus scripts , una ves que tengas la url del script descargalo, puedes revisar que hace siempre se aprende.
7.- si te gusta todo esto te recomiendo que instales snort.
Salu2
jp
Quoting David González Romero dgrvedado@gmail.com:
Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial. De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y reiniciar.
Saludos, David
El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." < ernesto.perez@cedia.org.ec> escribió:
On 12/29/2013 12:24 PM, Miguel González wrote:
- A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH por completo? Y como accedes a tu servidor? A no ser que este servidor este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra cosa, deshabilita el acceso root al SSH en el sshd_config y es recomendable utilizar claves RSA para loguearte en vez de usando
password.
por eso indicó a menos que se requiriera.. pero aún cuando se requiera puedes endurecer el acceso permitiendo solamente a un grupo selecto y pequeño de usuarios hacer ssh, evitando hagan ssh como root, o permitiendo solamente accesos como root con sistema de clave publica/privada... bloqueando por IP los accesos (desde firewall) o muchas variantes más. pero no por defecto
--
Ernesto Pérez +593 9 9924 6504 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Saluda ATTE JEAN PAUL CESARI V.
Adicional a todo lo que han mencionado podrias colocar dentro del archivo .bash_profile una alerta cuando alguien entra como root el sistema te enviara un email de forma inmediata -- Saludos
César Martinez Mora Ingeniero de Sistemas Servicom
Enviado desde mi mobile Samsung galaxy
jean paul cesari jp@dim.uchile.cl escribió:
he leido muchos correos quisiera dejar algunos tips para que no pierdan el camino.
1.- nunca volverse loco por algo asi, mientras mas aprendan mas paranoicos seran es mejor aprender a controlar eso desde ya.
2.- siempre que instalen un server deben firmar los archivos con tripware o aide, antes de colocarlo en producción.
al revisar la firmas de los archivos con tu base de datos del software
si modifican un binario aparece de inmediato identificado.
3.- el comando ps siempre es el primer comando que se modifica, les recomiendo siempre mirar con lsoft -i no confien el el ps ya que es comun que lo modifiquen.
4.- usar rkhunter, nose su severidad en el funcionamiento, pero algo que me gustan son mails que envía.
5.- si detectas una ip con conexión extraña usa iptables y dropeala de
forma permanente.
6.- en los logs busca la palabra wget para buscar las descargas de sus
scripts , una ves que tengas la url del script descargalo, puedes revisar que hace siempre se aprende.
7.- si te gusta todo esto te recomiendo que instales snort.
Salu2
jp
Quoting David González Romero dgrvedado@gmail.com:
Exacto no por defecto. Y sobre todo si puedes explotar sudo sería
genial.
De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el
puerto
cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y reiniciar.
Saludos, David
El 30 de diciembre de 2013, 17:05, "Ernesto Pérez Estévez, Ing." < ernesto.perez@cedia.org.ec> escribió:
On 12/29/2013 12:24 PM, Miguel González wrote:
- A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio
de SSH
por completo? Y como accedes a tu servidor? A no ser que este
servidor
este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde
fuera.
Otra cosa, deshabilita el acceso root al SSH en el sshd_config y
es
recomendable utilizar claves RSA para loguearte en vez de usando
password.
por eso indicó a menos que se requiriera.. pero aún cuando se
requiera
puedes endurecer el acceso permitiendo solamente a un grupo selecto
y
pequeño de usuarios hacer ssh, evitando hagan ssh como root, o permitiendo solamente accesos como root con sistema de clave publica/privada... bloqueando por IP los accesos (desde firewall) o muchas variantes más. pero no por defecto
--
Ernesto Pérez +593 9 9924 6504 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Saluda ATTE JEAN PAUL CESARI V.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 12/29/2013 11:58 AM, Gabriel Pinares wrote:
El archivo
/home/userz/.bash_history
NO existe fué el primero que busqué pero deconozco cómo obtener TODA acción realizada por IPx sin embargo con egrep -Ri IPx /var/log/* creo que ya tengo "TODO" o puede el hacker haber borrado el LOG ?
puede haber borrado el bash_history, por eso es que ahora ando obsesionado con esto:
http://ernestoperez.com/?p=1938
bash para que envíe por syslog tod... y evitar que borren el bash_history