[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?
"Ernesto Pérez Estévez, Ing."
ernesto.perez en cedia.org.ec
Dom Dic 29 16:22:19 UTC 2013
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
> Hola.
>
> Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada..
así que es PERFECTO que estés tratando de averiguar cómo, para que
puedas solucionar el hueco... excelente.
> - - - - - - - -
> Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
> port 44021 ssh2
> Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session
> opened for user userz by (uid=0)
> Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11:
> PECL/ssh2 (http://pecl.php.net/packages/ssh2)
> Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session
> closed for user userz
> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh
aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu,
sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía
una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin?
Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
> ¿puedo hallar más info de las acciones que ha realizado [IPx] ?
> ¿cómo? / ¿dónde?
egrep -Ri IPx /var/log/*
En caso de duda, léete TODOS los logs, buscando información sobre esta
IP y/o sobre el usuario userz (que me parece creado previamente por el
atacante, así que el problema posiblemente vaya por otro lado)
--
Ernesto Pérez
+593 9 9924 6504
Más información sobre la lista de distribución CentOS-es