[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

Gabriel Pinares glupiado en gmail.com
Dom Dic 29 16:56:21 UTC 2013 

Apreciados: MUCHAS GRACIAS.

Yo he creado a "userZ"
userZ ha cambiaod la clave por una que desconozco.

el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta
lísta de CentOs
la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de CentOs

no estoy seguro, pero CREO que el comando
egrep -Ri IPx /var/log/*
me díce TODO lo que ha efectuado IPx en el servidor
¿correcto?

ésto es lo que he obtenido con ESE comando:

root en http [~]# egrep -Ri IPx /var/log/*
/var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <=
root en miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
for user     userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
glupiado en gmail.com
/var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx
into the userZ account using password authentication
/var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New
connection from IPx
/var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ
is now logged in
/var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ en IPx) [NOTICE]
/home/userZ//public_html/fXvQhK4G.gif uploaded  (10 bytes, 0.03KB/sec)
/var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ en IPx) [NOTICE]
Deleted /home/userZ//public_html//fXvQhK4G.gif
/var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ en IPx) [NOTICE]
/home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded  (10 bytes, 0.03KB
   /sec)
/var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ en IPx) [NOTICE]
Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif
/var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ en IPx) [INFO] Logout.
/var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for
userZ from IPx port 44021 ssh2
/var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect
from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2)
root en http [~]#


ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la CLAVE
del inocente userZ
y que al obtenerla se conectó por FTP para ONFIRMAR clave
LUEGO, se conectó por SHELL con ESE USER
pero a mi me parece extraño:

Accepted password for userz from IPx port 44021 ssh2

quién es 44021 ?

aunque sé que debo cambiar el 22 por OTRO,
no lo he hecho aún.

Luego,
éste atacante debería haberse conectado al 22
no al 44021

es correcto?

mas orientación por favor.

GRACIAS


El 29/12/13, Miguel González <miguel_3_gonzalez en yahoo.es> escribió:
> On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
>> On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
>>> Hola.
>>>
>>> Desde x IP se han logrado colar utilizando SHELL.
>> primero que todo, relax... apagando o reinstalando no resolverás nada..
>> así que es PERFECTO que estés tratando de averiguar cómo, para que
>> puedas solucionar el hueco... excelente.
>>
>>
>>> - - - - - - - -
>>> Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
>>> port 44021 ssh2
>>> Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session
>>> opened for user userz by (uid=0)
>>> Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11:
>>> PECL/ssh2 (http://pecl.php.net/packages/ssh2)
>>> Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session
>>> closed for user userz
>>>   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>> bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh
>> aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu,
>> sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía
>> una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin?
>> Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
>
> Parece que han usado la extension SSH2 de PECL:
>
> http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
>
> Yo intentaría ver si tienes esa extension en tu sistema con una consulta
> al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a
> ciertas ips.
>>
>>> ¿puedo hallar más info de las acciones que ha realizado [IPx] ?
>>> ¿cómo? / ¿dónde?
>> egrep -Ri IPx /var/log/*
>>
>> En caso de duda, léete TODOS los logs, buscando información sobre esta
>> IP y/o sobre el usuario userz (que me parece creado previamente por el
>> atacante, así que el problema posiblemente vaya por otro lado)
> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
> history por si el hacker ha sido tan descuidado que no ha borrado el
> historico de comandos.
>
> Otra cosa, es bastante recomendable utilizar herramientas como fail2ban
> que permiten banear IPs que intentan hacer ataques DDOS, tambien banean
> IPs que rastrean tu servicio SSH.
>
> Si necesitas ayuda profesional, yo soy freelance de sistemas.
>
> Saludos
>
> Miguel
>
>
>
> ---
> This email is free from viruses and malware because avast! Antivirus
> protection is active.
> http://www.avast.com
>
>
> This message and any attachments are intended for the use of the addressee
> or addressees only. The unauthorised disclosure, use, dissemination or
> copying (either in whole or in part) of its content is not permitted. If you
> received this message in error, please notify the sender and delete it from
> your system. Emails can be altered and their integrity cannot be guaranteed
> by the sender.
>
> Please consider the environment before printing this email.
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Más información sobre la lista de distribución CentOS-es