[CentOS-es] Se colaron a mi sistema, �c�mo saber lo que han hecho?

[Gabriel Pinares]

El archivo

/home/userz/.bash_history

NO existe
fu� el primero que busqu�
pero deconozco c�mo obtener TODA acci�n realizada por IPx
sin embargo con
egrep -Ri IPx /var/log/*
creo que ya tengo "TODO"
o puede el hacker haber borrado el LOG ?

GRACIAS !

El 29/12/13, Gabriel Pinares <glupiado en gmail.com> escribi�:
> Apreciados: MUCHAS GRACIAS.
>
> Yo he creado a "userZ"
> userZ ha cambiaod la clave por una que desconozco.
>
> el "REAL USER" lo he cambiado por "userZ" para publicar aqu� en esta
> l�sta de CentOs
> la "IP REAL" la he cambiado por IPx para publicar aqu� en esta l�sta de
> CentOs
>
> no estoy seguro, pero CREO que el comando
> egrep -Ri IPx /var/log/*
> me d�ce TODO lo que ha efectuado IPx en el servidor
> �correcto?
>
> �sto es lo que he obtenido con ESE comando:
>
> root en http [~]# egrep -Ri IPx /var/log/*
> /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <=
> root en miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
> for user     userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
> glupiado en gmail.com
> /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx
> into the userZ account using password authentication
> /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New
> connection from IPx
> /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ
> is now logged in
> /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ en IPx) [NOTICE]
> /home/userZ//public_html/fXvQhK4G.gif uploaded  (10 bytes, 0.03KB/sec)
> /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ en IPx) [NOTICE]
> Deleted /home/userZ//public_html//fXvQhK4G.gif
> /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ en IPx) [NOTICE]
> /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded  (10 bytes, 0.03KB
>    /sec)
> /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ en IPx) [NOTICE]
> Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif
> /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ en IPx) [INFO]
> Logout.
> /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for
> userZ from IPx port 44021 ssh2
> /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect
> from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2)
> root en http [~]#
>
>
> ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la
> CLAVE
> del inocente userZ
> y que al obtenerla se conect� por FTP para ONFIRMAR clave
> LUEGO, se conect� por SHELL con ESE USER
> pero a mi me parece extra�o:
>
> Accepted password for userz from IPx port 44021 ssh2
>
> qui�n es 44021 ?
>
> aunque s� que debo cambiar el 22 por OTRO,
> no lo he hecho a�n.
>
> Luego,
> �ste atacante deber�a haberse conectado al 22
> no al 44021
>
> es correcto?
>
> mas orientaci�n por favor.
>
> GRACIAS
>
>
> El 29/12/13, Miguel Gonz�lez <miguel_3_gonzalez en yahoo.es> escribi�:
>> On 12/29/2013 5:22 PM, "Ernesto P�rez Est�vez, Ing." wrote:
>>> On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
>>>> Hola.
>>>>
>>>> Desde x IP se han logrado colar utilizando SHELL.
>>> primero que todo, relax... apagando o reinstalando no resolver�s nada..
>>> as� que es PERFECTO que est�s tratando de averiguar c�mo, para que
>>> puedas solucionar el hueco... excelente.
>>>
>>>
>>>> - - - - - - - -
>>>> Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
>>>> port 44021 ssh2
>>>> Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session
>>>> opened for user userz by (uid=0)
>>>> Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11:
>>>> PECL/ssh2 (http://pecl.php.net/packages/ssh2)
>>>> Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session
>>>> closed for user userz
>>>>   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>>> bien, entraron por ssh, por qu� veo PECL? no s�, pero entraron por ssh
>>> aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu,
>>> sigue la traza de qui�n le cre�. Este usuario si lo creaste t�.. ten�a
>>> una clave decente y fuerte? Por qu� este usuario no ten�a /sbin/nologin?
>>> Primer tip: asegurar los login via SSH.... quiz� restringi�ndoles.
>>
>> Parece que han usado la extension SSH2 de PECL:
>>
>> http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
>>
>> Yo intentar�a ver si tienes esa extension en tu sistema con una consulta
>> al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a
>> ciertas ips.
>>>
>>>> �puedo hallar m�s info de las acciones que ha realizado [IPx] ?
>>>> �c�mo? / �d�nde?
>>> egrep -Ri IPx /var/log/*
>>>
>>> En caso de duda, l�ete TODOS los logs, buscando informaci�n sobre esta
>>> IP y/o sobre el usuario userz (que me parece creado previamente por el
>>> atacante, as� que el problema posiblemente vaya por otro lado)
>> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
>> history por si el hacker ha sido tan descuidado que no ha borrado el
>> historico de comandos.
>>
>> Otra cosa, es bastante recomendable utilizar herramientas como fail2ban
>> que permiten banear IPs que intentan hacer ataques DDOS, tambien banean
>> IPs que rastrean tu servicio SSH.
>>
>> Si necesitas ayuda profesional, yo soy freelance de sistemas.
>>
>> Saludos
>>
>> Miguel
>>
>>
>>
>> ---
>> This email is free from viruses and malware because avast! Antivirus
>> protection is active.
>> http://www.avast.com
>>
>>
>> This message and any attachments are intended for the use of the
>> addressee
>> or addressees only. The unauthorised disclosure, use, dissemination or
>> copying (either in whole or in part) of its content is not permitted. If
>> you
>> received this message in error, please notify the sender and delete it
>> from
>> your system. Emails can be altered and their integrity cannot be
>> guaranteed
>> by the sender.
>>
>> Please consider the environment before printing this email.
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>