[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

Miguel González miguel_3_gonzalez en yahoo.es
Dom Dic 29 17:10:14 UTC 2013 

> root en http [~]# egrep -Ri IPx /var/log/*
> /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <=
> root en miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
> for user     userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
> glupiado en gmail.com
> /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx
> into the userZ account using password authentication
> /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New
> connection from IPx
> /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ
> is now logged in
> /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ en IPx) [NOTICE]
> /home/userZ//public_html/fXvQhK4G.gif uploaded  (10 bytes, 0.03KB/sec)
> /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ en IPx) [NOTICE]
> Deleted /home/userZ//public_html//fXvQhK4G.gif
> /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ en IPx) [NOTICE]
> /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded  (10 bytes, 0.03KB
>     /sec)
> /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ en IPx) [NOTICE]
> Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif
> /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ en IPx) [INFO]
> Logout.
> /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for
> userZ from IPx port 44021 ssh2
> /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect
> from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2)
> root en http [~]#

Es posible que haya cambiado algún gif o algún, has mirado si los 
ficheros de tu web (si es que la tienes), han cambiado? Yo haría una 
busqueda por ls -lRt o algo así para ver los ficheros que han cambiado 
recientemente...

>>
>>
>> ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la
>> CLAVE
>> del inocente userZ
>> y que al obtenerla se conectó por FTP para ONFIRMAR clave
>> LUEGO, se conectó por SHELL con ESE USER
>> pero a mi me parece extraño:
>>
>> Accepted password for userz from IPx port 44021 ssh2
>>
>> quién es 44021 ?
es el puerto desde el que la maquina del atacante hizo el SSH, nada 
importante
>>
>> aunque sé que debo cambiar el 22 por OTRO,
>> no lo he hecho aún.
>>
>> Luego,
>> éste atacante debería haberse conectado al 22
>> no al 44021
>>
>> es correcto?
Si, el puerto origen del socket es 44021, pero el puerto de tu maquina 
es el 22.

Saludos

Miguel

---
This email is free from viruses and malware because avast! Antivirus protection is active.
http://www.avast.com


This message and any attachments are intended for the use of the addressee or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted. If you received this message in error, please notify the sender and delete it from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.

Please consider the environment before printing this email.

Más información sobre la lista de distribución CentOS-es