[CentOS-es] Se colaron a mi sistema, ¿cómo saber lo que han hecho?

Gabriel Pinares glupiado en gmail.com
Lun Dic 30 14:55:40 UTC 2013 

Apreciados MUCHAS GRACIAS POR DARME ESA MANO AYUDA.

No conocía este grupo hasta AYER que me han dado estas palmadas...

Gracias!

El 30/12/13, David González Romero <dgrvedado en gmail.com> escribió:
> Una breve cosilla yo en los SSH tengo esto:
>
>
> Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación
> ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la
> interface de la red
>
> Protocol 2
>
> PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH
> #StrictModes yes
> #MaxAuthTries 6  # Con esto se puede jugar
> #MaxSessions 10 # igual que con este
> AllowUsers fulano mengano esperansejo siclanejo
> # supongamos que siclanejo sea el webmaster
> # El tienen /sbin/nologin, sin embargo lo enjaule para entrar en su home
> Subsystem       sftp    internal-sftp
> Match User siclanejo
>         X11Forwarding no
>         ChrootDirectory %h
>         ForceCommand internal-sftp
>         AllowTcpForwarding no
>
> Este ultimo bloque lo obligará a caer en su home /var/www/siclanejo
>
> Es muy importante no dejar las configuraciones de fabrica.
>
> Y solo publicar servicios que realmente sean, despues con IPTABLES yo hice
> iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 452 -j ACCEPT
> iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j REJECT
> iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 452 -j REJECT
>
> Ahora si necesitas abrir el 22 o el 452 para afuera asegúrate que cambiar
> tu cable RSA cada cierto tiempo.
>
> Saludos,
> David
>
> P.D: Bienvenido al club de admin hackeados... jejejeje
>
>
>
>
>
> El 30 de diciembre de 2013, 9:22, Maxi
> <maximiliano.duarte en gmail.com>escribió:
>
>> El 29 de diciembre de 2013, 19:01, kamal majaiti
>> <kamal.majaiti en gmail.com>escribió:
>>
>> > Mira los logs del servidor web buscando los post. plantearte pasar un
>> > escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa
>> las
>> > escuchas de los puertos usa chrootkit y rkhunter así como grep en www
>> > buscando base64 y cosas así. Primero localiza por donde entraron y
>> > hasta
>> > donde llegaron y que hicieron.
>> >  El 29/12/2013 19:13, "Miguel González" <miguel_3_gonzalez en yahoo.es>
>> > escribió:
>> >
>> > > On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
>> > > > Muchas gracias.
>> > > >
>> > > > NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
>> > > > yo no he instalado PHP SHELL
>> > > > la opción "JAIL SHELL" también la tengo inhabilitada
>> > > Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes
>> > > instalado para instalarlo.
>> > >
>> > >
>> > >
>> > > ---
>> > > This email is free from viruses and malware because avast! Antivirus
>> > > protection is active.
>> > > http://www.avast.com
>> > >
>> > >
>> > > This message and any attachments are intended for the use of the
>> > addressee
>> > > or addressees only. The unauthorised disclosure, use, dissemination
>> > > or
>> > > copying (either in whole or in part) of its content is not permitted.
>> If
>> > > you received this message in error, please notify the sender and
>> > > delete
>> > it
>> > > from your system. Emails can be altered and their integrity cannot be
>> > > guaranteed by the sender.
>> > >
>> > > Please consider the environment before printing this email.
>> > >
>> > > _______________________________________________
>> > > CentOS-es mailing list
>> > > CentOS-es en centos.org
>> > > http://lists.centos.org/mailman/listinfo/centos-es
>> > >
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>> configura ssh para que no ingrese como root y solo el usuario determinado
>> pueda ingresar (despues haces su - y te pasas a root). y con denyhost le
>> pones limite al intengo de averiguar claves, y bloquea la ip por los dias
>> que quieras.
>> A mi me sucedio que entraban y le cambiaban los passw a los usuarios de
>> correo electronico.
>> Y obliga a los usuarios  a usar claves fuertes
>>
>> --
>> El que pregunta aprende, y el que contesta aprende a responder.
>>
>> No a la obsolecencia programada:
>>
>> http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/392498.shtml
>>
>> Linux User #495070
>> http://domonetic.com/blog
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Más información sobre la lista de distribución CentOS-es