[CentOS-es] Se colaron a mi sistema, �c�mo saber lo que han hecho?

Gabriel Pinares glupiado en gmail.com
Dom Dic 29 16:56:21 UTC 2013 

Apreciados: MUCHAS GRACIAS.

Yo he creado a "userZ"
userZ ha cambiaod la clave por una que desconozco.

el "REAL USER" lo he cambiado por "userZ" para publicar aqu� en esta
l�sta de CentOs
la "IP REAL" la he cambiado por IPx para publicar aqu� en esta l�sta de CentOs

no estoy seguro, pero CREO que el comando
egrep -Ri IPx /var/log/*
me d�ce TODO lo que ha efectuado IPx en el servidor
�correcto?

�sto es lo que he obtenido con ESE comando:

root en http [~]# egrep -Ri IPx /var/log/*
/var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <=
root en miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
for user     userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
glupiado en gmail.com
/var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx
into the userZ account using password authentication
/var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New
connection from IPx
/var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ
is now logged in
/var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ en IPx) [NOTICE]
/home/userZ//public_html/fXvQhK4G.gif uploaded  (10 bytes, 0.03KB/sec)
/var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ en IPx) [NOTICE]
Deleted /home/userZ//public_html//fXvQhK4G.gif
/var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ en IPx) [NOTICE]
/home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded  (10 bytes, 0.03KB
   /sec)
/var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ en IPx) [NOTICE]
Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif
/var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ en IPx) [INFO] Logout.
/var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for
userZ from IPx port 44021 ssh2
/var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect
from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2)
root en http [~]#


ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la CLAVE
del inocente userZ
y que al obtenerla se conect� por FTP para ONFIRMAR clave
LUEGO, se conect� por SHELL con ESE USER
pero a mi me parece extra�o:

Accepted password for userz from IPx port 44021 ssh2

qui�n es 44021 ?

aunque s� que debo cambiar el 22 por OTRO,
no lo he hecho a�n.

Luego,
�ste atacante deber�a haberse conectado al 22
no al 44021

es correcto?

mas orientaci�n por favor.

GRACIAS


El 29/12/13, Miguel Gonz�lez <miguel_3_gonzalez en yahoo.es> escribi�:
> On 12/29/2013 5:22 PM, "Ernesto P�rez Est�vez, Ing." wrote:
>> On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
>>> Hola.
>>>
>>> Desde x IP se han logrado colar utilizando SHELL.
>> primero que todo, relax... apagando o reinstalando no resolver�s nada..
>> as� que es PERFECTO que est�s tratando de averiguar c�mo, para que
>> puedas solucionar el hueco... excelente.
>>
>>
>>> - - - - - - - -
>>> Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
>>> port 44021 ssh2
>>> Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session
>>> opened for user userz by (uid=0)
>>> Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11:
>>> PECL/ssh2 (http://pecl.php.net/packages/ssh2)
>>> Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session
>>> closed for user userz
>>>   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>> bien, entraron por ssh, por qu� veo PECL? no s�, pero entraron por ssh
>> aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu,
>> sigue la traza de qui�n le cre�. Este usuario si lo creaste t�.. ten�a
>> una clave decente y fuerte? Por qu� este usuario no ten�a /sbin/nologin?
>> Primer tip: asegurar los login via SSH.... quiz� restringi�ndoles.
>
> Parece que han usado la extension SSH2 de PECL:
>
> http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
>
> Yo intentar�a ver si tienes esa extension en tu sistema con una consulta
> al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a
> ciertas ips.
>>
>>> �puedo hallar m�s info de las acciones que ha realizado [IPx] ?
>>> �c�mo? / �d�nde?
>> egrep -Ri IPx /var/log/*
>>
>> En caso de duda, l�ete TODOS los logs, buscando informaci�n sobre esta
>> IP y/o sobre el usuario userz (que me parece creado previamente por el
>> atacante, as� que el problema posiblemente vaya por otro lado)
> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
> history por si el hacker ha sido tan descuidado que no ha borrado el
> historico de comandos.
>
> Otra cosa, es bastante recomendable utilizar herramientas como fail2ban
> que permiten banear IPs que intentan hacer ataques DDOS, tambien banean
> IPs que rastrean tu servicio SSH.
>
> Si necesitas ayuda profesional, yo soy freelance de sistemas.
>
> Saludos
>
> Miguel
>
>
>
> ---
> This email is free from viruses and malware because avast! Antivirus
> protection is active.
> http://www.avast.com
>
>
> This message and any attachments are intended for the use of the addressee
> or addressees only. The unauthorised disclosure, use, dissemination or
> copying (either in whole or in part) of its content is not permitted. If you
> received this message in error, please notify the sender and delete it from
> your system. Emails can be altered and their integrity cannot be guaranteed
> by the sender.
>
> Please consider the environment before printing this email.
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

M�s informaci�n sobre la lista de distribuci�n CentOS-es