OVH Community, your new community space.

hackeo en mi servidor o DDOS?


callejoso
17/08/2013, 07:48
Cambie de ordenador (creo que lo puse en el primer post o se me debio pasar sorry) por que ya sospechaba que podia pasar algo asi (y mas estando toooodo el dia con el ordenador de aqui para alla en todas als webs) pero utilice el ordenador de mi novia y seguia pasando aun que por si las moscas voy a entrar desde un live cd a cambiar todo ahora (lleva toda la noche online) pero la anterior noche tambien estuve online hasta por la mañana....

En cuanto a kenny decirte que si se vuelve a repetir a lo largo de hoy (esperemos que no) por que ya estoy bastante cansado me volvere a poner en contacto con vosotros.

Un saludo y gracias a todos

tfwfactory
17/08/2013, 07:29
Planteate también si tienes tu propio ordenador infectado y este está reenviando las claves de tu FTP a terceros , hay rootkits que se integran en los pcs y alteran todas las web accediendo por FTP - leyendo por ejemplo los pass de Filezilla - , nos pasó hace unos años que se nos coló un rootkit e inyectó en todos los index de las webs un código malicioso , en este caso hubo suerte puesto que en ese programa de FTP no había muchas cuentas

Revisa tu ordenador por si este es el posible causante , no siempre las cosas están en un servidor sino en la máquna desde la cual accedemos la cual está infectada y al utilizar diferentes servicios como el FTP , etc provocamos una infección y problema de seguridad

Saludos

pepejlr
17/08/2013, 00:37
Cita Publicado inicialmente por callejoso
contante esta mañana con la empresa de kenny y me dijeron que me llamarian y no me llamaron... muchas de las que hay en el foro ya no trabajan en esto por lo visto pero si alguno se dedica a la administracion de servidores ruego que se ponga en contacto conmigo porfavor
Prueba otro método: Vuelve a reinstalar el servidor y usa otro sistema que no sea el que usas normalmente en tu ordenador. Estaria bien que empezases a administrar el servidor bajo un Live-CD de Linux en tu ordenador y a ver si así no entran más. Si OVH genera una nueva clase SSH por cada formateo no encuentro explicación de como te pueden entrar gente a maniobrar el SSH de tu servidor más que por una posible infección que puedas tener en tu propio equipo.

Antes de todo eso, revisa los que hayan dentro del sistema con el comando WHO.

Si no, pues que otra persona administre el servidor por ti.

kennysamuerto
16/08/2013, 23:58
Cita Publicado inicialmente por callejoso
contante esta mañana con la empresa de kenny y me dijeron que me llamarian y no me llamaron... muchas de las que hay en el foro ya no trabajan en esto por lo visto pero si alguno se dedica a la administracion de servidores ruego que se ponga en contacto conmigo porfavor
Hola,

Que raro, no hemos recibido precisamente hoy ninguna notificacion de llamada por parte de nuestro call center.

Me resulta extraño porque nunca hemos tenido ningun problema con las llamadas, pero he estado esta tarde en la oficina revisando cosas y precisamente ha sido uno de los dias mas tranquilos.

Si quieres, puedes enviarnos un correo a nuestra direccion y lo revisamos si tenias la intencion de contratar nuestros servicios, ya que como te comento, no hemos recibido ninguna notificacion de llamada hoy, probablemente por algun fallo o mal entendido de las chicas.

Saludos

callejoso
16/08/2013, 23:08
contante esta mañana con la empresa de kenny y me dijeron que me llamarian y no me llamaron... muchas de las que hay en el foro ya no trabajan en esto por lo visto pero si alguno se dedica a la administracion de servidores ruego que se ponga en contacto conmigo porfavor

Siliconworld
16/08/2013, 22:49
Cita Publicado inicialmente por callejoso
Me volvieorn a hackear y en ningun log veo nada :S
Tendrás que plantearte recurrir a que otra persona acceda a tu servidor y se ocupe del problema:

http://foros.ovh.es/showthread.php?t=6212

Aprovecha ahora que estas en modo hackeado para poner en práctica los consejos que te han dado, consulta quien más está conectado, usa el RKHunter o similares, desactiva el acceso por login y usa llaves ssh, contempla la opción de tener un keyloger en tu PC desde el que conectas, prueba a usar otro PC o también la opción de que la cuenta de correo a la que te llegan los avisos de OVH como por ejemplo el mail del SO recién instalado con las claves es a la que te están entrando, usa una cuenta de correo diferente, vuelve a cambiar la clave de acceso al panel de OVH que si tienen acceso a el pueden ver el historial de los mails que te envía OVH incluido el de claves de acceso, etc...

Suerte.

callejoso
16/08/2013, 22:43
Cita Publicado inicialmente por Siliconworld
Fíjate en las últimas líneas de /etc/ssh/sshd_config

Código:
AllowUsers XXXXX
AllowUsers XXXXXX
AllowUsers XXXXXX
AllowUsers ....
Que esté ese usuario creado en permitido y el tipo de shell que tenga asignado sea /bin/bash y no /bin/false, cuenta que la config de SSHD la toca también Directadmin para agregar en esas líneas a los clientes que les das acceso SSH y modifica su Shell de false a bash.

Un Saludo.

EDIT: Si te lías mucho con la consola y quieres operar el servidor a un nivel más avanzado de lo que permite Directadmin, te recomiendo instalar Webmin, es sencillo, puedes gestionar varios aspectos del servidor en un entorno gráfico, eso si, evita tocar cualquier configuración de servicios como HTTP, FTP, MySQL, EXIM, etc... si no lo controlas mucho, no le sentaría bien al Directadmin que le toquen sus configuraciones adaptadas en ciertos servicios.
Me volvieorn a hackear y en ningun log veo nada :S

Siliconworld
16/08/2013, 22:18
Cita Publicado inicialmente por callejoso
Ahora solo queda esperar aver que pasa...menudo dia llevo...

Sigo intentando crear otro user para ssh por que los creo y no me va nignuno solo root (y lo e desactivado)

gracias a todos

Fíjate en las últimas líneas de /etc/ssh/sshd_config

Código:
AllowUsers XXXXX
AllowUsers XXXXXX
AllowUsers XXXXXX
AllowUsers ....
Que esté ese usuario creado en permitido y el tipo de shell que tenga asignado sea /bin/bash y no /bin/false, cuenta que la config de SSHD la toca también Directadmin para agregar en esas líneas a los clientes que les das acceso SSH y modifica su Shell de false a bash.

Un Saludo.

EDIT: Si te lías mucho con la consola y quieres operar el servidor a un nivel más avanzado de lo que permite Directadmin, te recomiendo instalar Webmin, es sencillo, puedes gestionar varios aspectos del servidor en un entorno gráfico, eso si, evita tocar cualquier configuración de servicios como HTTP, FTP, MySQL, EXIM, etc... si no lo controlas mucho, no le sentaría bien al Directadmin que le toquen sus configuraciones adaptadas en ciertos servicios.

pepejlr
16/08/2013, 21:20
Cita Publicado inicialmente por callejoso
alguien sabe como puedo quitar root para no poner conectar por ssh? oseq quitarlo se pero antes intento crear otro usuario y lo creo bien pero luego me dice acceso denegado al conectar... probe con este manual http://www.vicchiam.com/blog/?p=267

y le puse en wheel pero nada no me deja conectar
Comprueba que tienes sudo en uno de tus users. A continuación modifica el /etc/ssh/sshd_config y cambia el valor "PermitRootLogin" a "No".

callejoso
16/08/2013, 21:07
Cita Publicado inicialmente por Drakar73
Muy buen consejo lo del CSF

Lo del Kernel no lo veo tan problematico, estamos hablando que tendria alguien que escalar privilegios desde una cuenta de hosting? A veces nos asustamos demasiado con los kernels y no es tanto... Hombre, si le das SSH a alguien puede que pueda liarla pero con phps y sin exec por ejemplo no es tan facil ¿no?
Ahora solo queda esperar aver que pasa...menudo dia llevo...

Sigo intentando crear otro user para ssh por que los creo y no me va nignuno solo root (y lo e desactivado)

gracias a todos

Drakar73
16/08/2013, 20:54
Muy buen consejo lo del CSF

Lo del Kernel no lo veo tan problematico, estamos hablando que tendria alguien que escalar privilegios desde una cuenta de hosting? A veces nos asustamos demasiado con los kernels y no es tanto... Hombre, si le das SSH a alguien puede que pueda liarla pero con phps y sin exec por ejemplo no es tan facil ¿no?

Cita Publicado inicialmente por Siliconworld
Buenas,

Veo que usas Directadmin, te recomiendo instalar el CSF/LFD que tiene Plugin para DA y configurarlo y también el Rkhunter y analizar periódicamente el sistema.

Y OJO al kernel que meten con la instalación de OVH de Centos con Directadmin pre-instalado.

Un Saludo y suerte.

callejoso
16/08/2013, 19:57
Cita Publicado inicialmente por Shelmak
No tendran tu clave de cliente del manager de OVH? Parecera una sugerencia tonta, pero deberias cambiarla para asegurarte
La tengo cambiada y tambien el puerto y ahora quiero desactivar root pero tener otra manera de entrar (intento crear un usuario y aun siendo root con ese usuario me dice acceso denegado en putty al conectar)

Shelmak
16/08/2013, 19:53
No tendran tu clave de cliente del manager de OVH? Parecera una sugerencia tonta, pero deberias cambiarla para asegurarte

callejoso
16/08/2013, 19:32
alguien sabe como puedo quitar root para no poner conectar por ssh? oseq quitarlo se pero antes intento crear otro usuario y lo creo bien pero luego me dice acceso denegado al conectar... probe con este manual http://www.vicchiam.com/blog/?p=267

y le puse en wheel pero nada no me deja conectar

Siliconworld
16/08/2013, 19:00
Buenas,

Veo que usas Directadmin, te recomiendo instalar el CSF/LFD que tiene Plugin para DA y configurarlo y también el Rkhunter y analizar periódicamente el sistema.

Y OJO al kernel que meten con la instalación de OVH de Centos con Directadmin pre-instalado.

Un Saludo y suerte.

Guille
16/08/2013, 18:53
Puedes probar a instalar el Linux Malware Detect
http://foros.ovh.es/showthread.php?t...=Linux+Malware

callejoso
16/08/2013, 14:40
ya estoy online y controlando todo (veremos que pasa)

Drakar73
16/08/2013, 14:38
Fijate en los logs de apache, ahi puedes ver algo.

Cita Publicado inicialmente por callejoso
Por eso mismo estoy montando solo mi web principal que durante años nunca tuve problemas... (para ver si con eso se soluciona) por que como sea mi web principal la que este causando todo esto no quiero ni imaginarlo...

callejoso
16/08/2013, 14:17
Cita Publicado inicialmente por Drakar73
Pues o es un hackeo de tu maquina personal o es que montas alguna web que inmediatamente les da acceso por alguna vulnerabilidad.

No creo que la instalacion base de OVH permita entrar asi como asi, tiene que ser algo tuyo.
Por eso mismo estoy montando solo mi web principal que durante años nunca tuve problemas... (para ver si con eso se soluciona) por que como sea mi web principal la que este causando todo esto no quiero ni imaginarlo...

Drakar73
16/08/2013, 14:14
Pues o es un hackeo de tu maquina personal o es que montas alguna web que inmediatamente les da acceso por alguna vulnerabilidad.

No creo que la instalacion base de OVH permita entrar asi como asi, tiene que ser algo tuyo.

Cita Publicado inicialmente por callejoso
si pero joer con que facilidad entran no? pues desde anoche ya e reinstalado centos 4 veces :S (pues no controlo mucho de mantenimiento de servidores y acabo antes...)

callejoso
16/08/2013, 14:11
Cita Publicado inicialmente por Drakar73
Si te meten un rootkit bien puesto no los vas a ver facilmente.

El trafico puede ser porque estan usando tu servidor para algo, spam, ataques o cualquier historia.
si pero joer con que facilidad entran no? pues desde anoche ya e reinstalado centos 4 veces :S (pues no controlo mucho de mantenimiento de servidores y acabo antes...)

Drakar73
16/08/2013, 14:09
Si te meten un rootkit bien puesto no los vas a ver facilmente.

El trafico puede ser porque estan usando tu servidor para algo, spam, ataques o cualquier historia.

callejoso
16/08/2013, 14:03
Cita Publicado inicialmente por Korxu
Como bien dice Drakar, de DDOS eso no tiene nada.

Prueba a hacer 'who' en un terminal y mira si hay alguien más conectado a parte de ti.
Por ahora estoy yo solo veremos a ver en una hora...

callejoso
16/08/2013, 14:02
Como me deja todo fuera tuve que reinstalar ahora estoy montando mi web principal y dejando las demas fuera (por si acaso alguna de ellas es) y centarme en una sola, me referia a lo del DDOS por que al recibir muchas conexiones quizas podria salir ese mensaje... pero si es un hackeo tiene narices pues me han cambiado las claves de root y admin 4 veces en 24h....(y siempre muy difernetes y cambiadas despues de la instalacion)

Korxu
16/08/2013, 13:49
Como bien dice Drakar, de DDOS eso no tiene nada.

Prueba a hacer 'who' en un terminal y mira si hay alguien más conectado a parte de ti.

Drakar73
16/08/2013, 13:45
DDOS es un denegacion de servicio, lo que tu tienes es un hackeo.

¿Tenias ya alguna web funcionando?

callejoso
16/08/2013, 13:31
Hola amigos.

llevo desde ayer que a cada rato y recien reinstalado mi servidor por arte de magia se me cambian las claves de directadmin y root ya probe a hacerlo desde otro ordenador por si tenia algun virus.... cambia las claves enviadas por ovh en el mail de instalacion y siempre acaban cambiandolas....

pero esta ultima vez justo antes de "cambiarse" las contraseña aparecio many to conections....

Puede ser que este recibiendo ataques?.... como podria saberlo?