[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

David González Romero dgrvedado en gmail.com
Lun Dic 30 14:09:13 UTC 2013


Una breve cosilla yo en los SSH tengo esto:


Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación
ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la
interface de la red

Protocol 2

PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH
#StrictModes yes
#MaxAuthTries 6  # Con esto se puede jugar
#MaxSessions 10 # igual que con este
AllowUsers fulano mengano esperansejo siclanejo
# supongamos que siclanejo sea el webmaster
# El tienen /sbin/nologin, sin embargo lo enjaule para entrar en su home
Subsystem       sftp    internal-sftp
Match User siclanejo
        X11Forwarding no
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no

Este ultimo bloque lo obligará a caer en su home /var/www/siclanejo

Es muy importante no dejar las configuraciones de fabrica.

Y solo publicar servicios que realmente sean, despues con IPTABLES yo hice
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 452 -j ACCEPT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j REJECT
iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 452 -j REJECT

Ahora si necesitas abrir el 22 o el 452 para afuera asegúrate que cambiar
tu cable RSA cada cierto tiempo.

Saludos,
David

P.D: Bienvenido al club de admin hackeados... jejejeje





El 30 de diciembre de 2013, 9:22, Maxi <maximiliano.duarte en gmail.com>escribió:

> El 29 de diciembre de 2013, 19:01, kamal majaiti
> <kamal.majaiti en gmail.com>escribió:
>
> > Mira los logs del servidor web buscando los post. plantearte pasar un
> > escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa
> las
> > escuchas de los puertos usa chrootkit y rkhunter así como grep en www
> > buscando base64 y cosas así. Primero localiza por donde entraron y hasta
> > donde llegaron y que hicieron.
> >  El 29/12/2013 19:13, "Miguel González" <miguel_3_gonzalez en yahoo.es>
> > escribió:
> >
> > > On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
> > > > Muchas gracias.
> > > >
> > > > NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
> > > > yo no he instalado PHP SHELL
> > > > la opción "JAIL SHELL" también la tengo inhabilitada
> > > Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes
> > > instalado para instalarlo.
> > >
> > >
> > >
> > > ---
> > > This email is free from viruses and malware because avast! Antivirus
> > > protection is active.
> > > http://www.avast.com
> > >
> > >
> > > This message and any attachments are intended for the use of the
> > addressee
> > > or addressees only. The unauthorised disclosure, use, dissemination or
> > > copying (either in whole or in part) of its content is not permitted.
> If
> > > you received this message in error, please notify the sender and delete
> > it
> > > from your system. Emails can be altered and their integrity cannot be
> > > guaranteed by the sender.
> > >
> > > Please consider the environment before printing this email.
> > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
> configura ssh para que no ingrese como root y solo el usuario determinado
> pueda ingresar (despues haces su - y te pasas a root). y con denyhost le
> pones limite al intengo de averiguar claves, y bloquea la ip por los dias
> que quieras.
> A mi me sucedio que entraban y le cambiaban los passw a los usuarios de
> correo electronico.
> Y obliga a los usuarios  a usar claves fuertes
>
> --
> El que pregunta aprende, y el que contesta aprende a responder.
>
> No a la obsolecencia programada:
>
> http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/392498.shtml
>
> Linux User #495070
> http://domonetic.com/blog
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es