[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

[Gabriel Pinares]

El archivo

/home/userz/.bash_history

NO existe
fué el primero que busqué
pero deconozco cómo obtener TODA acción realizada por IPx
sin embargo con
egrep -Ri IPx /var/log/*
creo que ya tengo "TODO"
o puede el hacker haber borrado el LOG ?

GRACIAS !

El 29/12/13, Gabriel Pinares <glupiado en gmail.com> escribió:
> Apreciados: MUCHAS GRACIAS.
>
> Yo he creado a "userZ"
> userZ ha cambiaod la clave por una que desconozco.
>
> el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta
> lísta de CentOs
> la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de
> CentOs
>
> no estoy seguro, pero CREO que el comando
> egrep -Ri IPx /var/log/*
> me díce TODO lo que ha efectuado IPx en el servidor
> ¿correcto?
>
> ésto es lo que he obtenido con ESE comando:
>
> root en http [~]# egrep -Ri IPx /var/log/*
> /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <=
> root en miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
> for user     userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
> glupiado en gmail.com
> /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx
> into the userZ account using password authentication
> /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New
> connection from IPx
> /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ
> is now logged in
> /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ en IPx) [NOTICE]
> /home/userZ//public_html/fXvQhK4G.gif uploaded  (10 bytes, 0.03KB/sec)
> /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ en IPx) [NOTICE]
> Deleted /home/userZ//public_html//fXvQhK4G.gif
> /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ en IPx) [NOTICE]
> /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded  (10 bytes, 0.03KB
>    /sec)
> /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ en IPx) [NOTICE]
> Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif
> /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ en IPx) [INFO]
> Logout.
> /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for
> userZ from IPx port 44021 ssh2
> /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect
> from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2)
> root en http [~]#
>
>
> ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la
> CLAVE
> del inocente userZ
> y que al obtenerla se conectó por FTP para ONFIRMAR clave
> LUEGO, se conectó por SHELL con ESE USER
> pero a mi me parece extraño:
>
> Accepted password for userz from IPx port 44021 ssh2
>
> quién es 44021 ?
>
> aunque sé que debo cambiar el 22 por OTRO,
> no lo he hecho aún.
>
> Luego,
> éste atacante debería haberse conectado al 22
> no al 44021
>
> es correcto?
>
> mas orientación por favor.
>
> GRACIAS
>
>
> El 29/12/13, Miguel González <miguel_3_gonzalez en yahoo.es> escribió:
>> On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
>>> On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
>>>> Hola.
>>>>
>>>> Desde x IP se han logrado colar utilizando SHELL.
>>> primero que todo, relax... apagando o reinstalando no resolverás nada..
>>> así que es PERFECTO que estés tratando de averiguar cómo, para que
>>> puedas solucionar el hueco... excelente.
>>>
>>>
>>>> - - - - - - - -
>>>> Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
>>>> port 44021 ssh2
>>>> Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session
>>>> opened for user userz by (uid=0)
>>>> Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11:
>>>> PECL/ssh2 (http://pecl.php.net/packages/ssh2)
>>>> Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session
>>>> closed for user userz
>>>>   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>>> bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh
>>> aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu,
>>> sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía
>>> una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin?
>>> Primer tip: asegurar los login via SSH.... quizá restringiéndoles.
>>
>> Parece que han usado la extension SSH2 de PECL:
>>
>> http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/
>>
>> Yo intentaría ver si tienes esa extension en tu sistema con una consulta
>> al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a
>> ciertas ips.
>>>
>>>> ¿puedo hallar más info de las acciones que ha realizado [IPx] ?
>>>> ¿cómo? / ¿dónde?
>>> egrep -Ri IPx /var/log/*
>>>
>>> En caso de duda, léete TODOS los logs, buscando información sobre esta
>>> IP y/o sobre el usuario userz (que me parece creado previamente por el
>>> atacante, así que el problema posiblemente vaya por otro lado)
>> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
>> history por si el hacker ha sido tan descuidado que no ha borrado el
>> historico de comandos.
>>
>> Otra cosa, es bastante recomendable utilizar herramientas como fail2ban
>> que permiten banear IPs que intentan hacer ataques DDOS, tambien banean
>> IPs que rastrean tu servicio SSH.
>>
>> Si necesitas ayuda profesional, yo soy freelance de sistemas.
>>
>> Saludos
>>
>> Miguel
>>
>>
>>
>> ---
>> This email is free from viruses and malware because avast! Antivirus
>> protection is active.
>> http://www.avast.com
>>
>>
>> This message and any attachments are intended for the use of the
>> addressee
>> or addressees only. The unauthorised disclosure, use, dissemination or
>> copying (either in whole or in part) of its content is not permitted. If
>> you
>> received this message in error, please notify the sender and delete it
>> from
>> your system. Emails can be altered and their integrity cannot be
>> guaranteed
>> by the sender.
>>
>> Please consider the environment before printing this email.
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>