OVH Community, your new community space.

Ticket incidencia " compromised by the Ebury"


tfwfactory
30/01/2014, 15:35
Cita Publicado inicialmente por jiuston
Hola nuevamente Tf; gracias por tu ayuda y consejos.
Es una instalación nueva 10.1.0 y ftp esta funcionando, es más intenta loguearme pero daba error.

Lo he resuelto de la siguiente manera... mirando los logs.. ( que siempre deberia ser lo primero que se hace pero....es lo mismo que con los manuales de cualquier dispositivo nuevo que compramos. Los miramos despues de horas de estar atascados )
Tengo que aclarar que habia cambiado todas contraseñas que pone zpanel al hacer la instalación... y crei que habia cambiado todos los *.conf para que funcionará correctamente, pero no
Edite
/etc/zpanel/configs/proftpd/proftpd-mysql.conf
y ahi tenia...
SQLConnectInfo zpanel_proftpd@localhost root dgjByCzhHXFdm1HR
que es la contraseña "original" del root pero que ya no es la actual, asi que solo cambie esa contraseña por la que uso actualmente y .. problema resuelto

Coincido contigo que zpanel es una de las mejores opciones de panel de control, solo echo en falta algo más de actividad en foros en español para darlo a conocer a quienes están interesados en otra opción de panel y gratuito

Muchas gracias Tf por tu ayuda, saludos cordiales
Por lo de ayuda en Español no te preocupes , estamos preparando un foro hispano para Zpanel con todos los repositorios , etc para toda la comunidad Hispana , cuando este lo pondremos aqui en paneles , bueno si nos dejan ..... y de paso te avisamos , puesto que tambien tenemos las traducciones y muchos módulos muy interesantes que ayudarán a que zpanel se difunda mucho más , un saludo y efectivamente al instalar zpanel se instala una clave por defecto tambien para mysql , antes en otras versiones te pedía una clave que deseases para mysql pero aora cambió con los nuevos instaladores , mírate se poner mod_security , mod_evasive , CSF , Fail2Ban y Ajenty para controlar todo el servidor es excepcional y para rapidez el mejor sistema es APC , irá todo super rápido y tienes un módulo para manejarlo sino me dices y te paso la config mejor para APC y losmódulos ten cuidado solo de repositorios oficiales , por lo demás siempre puedes hacer backups muy sencillos del sistma , db y todo

Saludos me alegro todo bien !!!

jiuston
30/01/2014, 15:09
Cita Publicado inicialmente por tfwfactory
Pero el purto 21 está ok y el servidor de FTP te funciona y se resetea bien ? por otr lado accede al panel de control de zpanelx y mira si tienes la última version el estado de los servicios asegúrate de que está FTP con la palomita verde , ese problema se report´- por eso te preguntaba - cuando se hacia un upgrade de la versión 10.0.2 a la nueva con el nuevo skin la 10.1.0 de ahi mi pregunta si es fresh install o no , tambien se detecto el problema de FTP en pruebas con algun VPS con Openvz , si usas virtualización mira el usuario Caffeine es un crack en sistemas : http://www.zvps.co.uk/zpanelx/installers/centos-6

Además ha desarrollado unos maravillosos scripts para manejo de zpanel al momento con XEN : http://www.zvps.co.uk/zpanelx/servers

ZpanelX es una hermosura de panel de control y en breve más cosas tendrá

Comentame y miramos , saludos
Hola nuevamente Tf; gracias por tu ayuda y consejos.
Es una instalación nueva 10.1.0 y ftp esta funcionando, es más intenta loguearme pero daba error.

Lo he resuelto de la siguiente manera... mirando los logs.. ( que siempre deberia ser lo primero que se hace pero....es lo mismo que con los manuales de cualquier dispositivo nuevo que compramos. Los miramos despues de horas de estar atascados )
Tengo que aclarar que habia cambiado todas contraseñas que pone zpanel al hacer la instalación... y crei que habia cambiado todos los *.conf para que funcionará correctamente, pero no
Edite
/etc/zpanel/configs/proftpd/proftpd-mysql.conf
y ahi tenia...
SQLConnectInfo zpanel_proftpd@localhost root dgjByCzhHXFdm1HR
que es la contraseña "original" del root pero que ya no es la actual, asi que solo cambie esa contraseña por la que uso actualmente y .. problema resuelto

Coincido contigo que zpanel es una de las mejores opciones de panel de control, solo echo en falta algo más de actividad en foros en español para darlo a conocer a quienes están interesados en otra opción de panel y gratuito

Muchas gracias Tf por tu ayuda, saludos cordiales

tfwfactory
30/01/2014, 13:33
Pero el purto 21 está ok y el servidor de FTP te funciona y se resetea bien ? por otr lado accede al panel de control de zpanelx y mira si tienes la última version el estado de los servicios asegúrate de que está FTP con la palomita verde , ese problema se report´- por eso te preguntaba - cuando se hacia un upgrade de la versión 10.0.2 a la nueva con el nuevo skin la 10.1.0 de ahi mi pregunta si es fresh install o no , tambien se detecto el problema de FTP en pruebas con algun VPS con Openvz , si usas virtualización mira el usuario Caffeine es un crack en sistemas : http://www.zvps.co.uk/zpanelx/installers/centos-6

Además ha desarrollado unos maravillosos scripts para manejo de zpanel al momento con XEN : http://www.zvps.co.uk/zpanelx/servers

ZpanelX es una hermosura de panel de control y en breve más cosas tendrá

Comentame y miramos , saludos

jiuston
30/01/2014, 09:55
Cita Publicado inicialmente por tfwfactory
Si , si es una instalación supongo que es desde cero con Centos limpio , pero recuerda que zpanel debe tener todas las dependencias eliminadas , muchas veces los usuarios tratan de instalar zpanel sin borrar dependencias y los distros de ovh vienen con cosas por defecto como mysql , ftp , bind , etc y esto siempre debemos eliminarlo todo antes de instalar ZpanelX

yum remove bind
yum remove httpd* php* mysql* -y

Despues instala zpanelx

Lo primero verifica que el servidor de FTP funcione y este activo , tambien verifica el puerto 21

Mira con el comando que te sale :

service proftpd restart

Recuerda crear una cuenta FTP por defecto y me comentas , asegurate de instalar mod_security y mod_evasive como CSF como Fail2Ban


Saludos
Hola Tf, muchas gracias por contestar.
Si la instalación está sobre Centos "limpio" la he hecho siempre asi , es más-- la anterior funcionaba corrrectamente las cuentas de ftp, pero.... en una en otro se4rvidor me paso lo mismo. Cuando conectas por filezilla el sistema responde, y dice lo siguiente:
Estado: Conexión establecida, esperando el mensaje de bienvenida...
Respuesta: 220 ProFTPD 1.3.3g Server (Zpanel FTP Server) [::ffff:5.1xx.1xx.1xx]
Comando: USER XXXXX
Respuesta: 331 Password required for XXXXX
Comando: PASS **********
Error: No se pudo conectar al servidor
Por supuesto que el password esta bien y es más, he corregido http://forums.zpanelcp.com/Thread-Of...-1-0?pid=64896
En una instalación me paso algo similar y .. no recuerdo como lo solucione, pero si que era "una tonteria" y no la archive en el "disco duro" y estoy dando bandazos

Seguiré haciendo pruebas, de nuevo muchas gracias por tu ayuda

Saludos

tfwfactory
29/01/2014, 23:51
Si , si es una instalación supongo que es desde cero con Centos limpio , pero recuerda que zpanel debe tener todas las dependencias eliminadas , muchas veces los usuarios tratan de instalar zpanel sin borrar dependencias y los distros de ovh vienen con cosas por defecto como mysql , ftp , bind , etc y esto siempre debemos eliminarlo todo antes de instalar ZpanelX

yum remove bind
yum remove httpd* php* mysql* -y

Despues instala zpanelx

Lo primero verifica que el servidor de FTP funcione y este activo , tambien verifica el puerto 21

Mira con el comando que te sale :

service proftpd restart

Recuerda crear una cuenta FTP por defecto y me comentas , asegurate de instalar mod_security y mod_evasive como CSF como Fail2Ban


Saludos

jiuston
29/01/2014, 21:11
Hola Tf; al final no he tenido más remedio que reinstalar y dejarme de historias. Por lo visto ( alguién que ya paso por lo mismo) si se reproducen esos avisos podrian tomar medidas y ya sabes a que nos referimos.

He reinstalado el sistema con centos y zpanel, pero me pasa lo mismo que una vez hace tiempo.... no me funcionan las cuentas de FTP lo resolvi la otra vez pero .. estoy atascado. Se que tú manejas bien ese panel.. podrías echarme un cable?

Un saludo

tfwfactory
21/01/2014, 00:54
Cita Publicado inicialmente por jiuston
Hola TF nuevamente gracias por tu interes en este asunto.

Verás:
imagina tres servidores
Servidor A con centos 6.5 actualizado de respositorios oficiales con solusvm + webmin -- según OVH contaminado hasta las trancas la ip del servidor y las 3 FO ( todo absoutamente todo actualizado de repositorios oficiales )

Servidor B exactamente igual que el anterior .. y según OVH igual de contaminado...

Servidor C sin virtualizar KS de 3 eurillos con zpanel instalada la última versión con el skin que viene por defecto ( medio tuneado por mi ) como los anteriores con Centos 6.5 actualizado de repositorios oficiales. No tengo modulos SSH instalados, ni ningún otro modulo . Según OVH contaminado hasta las trancas
Yo no suelo usar repositorios no oficiales, por lo menos en estos tres servidores no lo he hecho. Tengo más servidores en otros proveedores con una configuración muyy similar y sin problemas.

Si estás interesado echale un vistazo a está web https://www.hkcert.org/my_url/en/blog/13031201
En mi caso si hago ipcs -m
---- Segmentos memoria compartida ----
key shmid propietario perms bytes nattch estado
0x000009e4 0 root 666 3179912 0


y al chequear keyutils library
# rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL

Según esa página NO ESTARIA INFECTADO, pero para OVH todos los servidores están infectados. y me temo lo peor.. por parte de estos lumbreras.

Seguiré investigando y haciendo pruebas y revisando todo lo revisable, tengo la sensación que es más un fallo de sus alertas que una infección real

saludos y gracias por tú tiempo

P.D.

Lo que si agradeceria a quién tenga algún server en OVH con centos es que haga esas mismas pruebas y compruebe si los resultados son iguales o similares y si le han mandado alguna alerta




Lo que dices es totalmente correcto , ese test lo conozco y si te da ok no estarías infectado , desde luego esto es para mi un falso positivo , debes contactar con OVH e indicarles que a su vez indiquen el tema a Francia , a mi me parece también muy raro , con nada te detecta absolutamente nada y con esa prueba que la conozco tampoco te da absolutamente resultado de positivo , enviales esto y que lo hagan ellos si quieren pero desde luego hay un foro que te pasaré el enlace de un usuario de Hetzner que tambien le comunicaron esto

El usuario les dijo que le demostrasen que a través de este troyano se estaba enviando spam desde su servidor , el resultado fue que desde el servidor del supuesto infectado no salía en absoluto spam ni un solo email raro

Por eso lo normal es que contactes con ellos de inmediato y expongas el caso , con ese test se determinan las librerias , los cambios en cada una y que son o en cuales se producen modificaciones , es igual que cuando en windows el virus se intenta camuflar con el nombre de un archivo a su vez de windows , he realizado yo mismo un test en varios servidores en OVH y fuera de OVH y el resultado es limpio como una patena , por tanto algo mal deben tener ellos no tiene otro sentido y de igual modo pongo la mano en el fuego por Zpanel pq es el sistema más sencillo más limpio que conozco en cuanto a eficacia y rendimiento y no posee ningun tipo de actualización automática como cpanel , etc , es puro php y poco más con sus bases de datos y su interacción con el sistema operativo , por eso que estoy contigo en que esto en todo caso es un falso positivo y dada la prueba realizada mucho más y podría pensar que el problema fuese de la distribución pero con el sistema con centos instalado limpio más me extraña todavía en un KS


Un saludo y coméntanos porque es más que interesante por donde va el tema , un saludo y lo que se te pueda ayudar con zpanel pues encantado , saludos

jiuston
20/01/2014, 23:23
Cita Publicado inicialmente por tfwfactory
Trabajo con zpanelx hace varios años , por eso es importante saber como lo has instalado el tema con zpanelx y que repositorios te instalas o bajas y como lo haces , entonces en primer lugar que versión de zpanelx tienes instalada , la última con el nuevo skin ?

Importante saber si tienes algún módulo instalado de SSH , no son seguros y no debes ponerlos , de igual modo saber que módulos tienes instalados no oficiales o bien de reciente instalación como el modulo para SSL , etc

También saber si has instalado zpanelx en contenedores con proxmox o bien es en un servidor sin usar virtualización ?

Tal vez y digo tal vez puede que si el problema se te dio poco despues , que lo que causa todo esto sea un módulo o una mala instalación ya que zpanelx debe instalarse con el repositorio correcto , solemos instalar zpanelx con los repositorios oficiales o de uno de los desarrolladores del foro que se llama Caffeine , esos son los correctos y muy testeados , pero pasame información y en lo que pueda te ayudo

Un saludo
Hola TF nuevamente gracias por tu interes en este asunto.

Verás:
imagina tres servidores
Servidor A con centos 6.5 actualizado de respositorios oficiales con solusvm + webmin -- según OVH contaminado hasta las trancas la ip del servidor y las 3 FO ( todo absoutamente todo actualizado de repositorios oficiales )

Servidor B exactamente igual que el anterior .. y según OVH igual de contaminado...

Servidor C sin virtualizar KS de 3 eurillos con zpanel instalada la última versión con el skin que viene por defecto ( medio tuneado por mi ) como los anteriores con Centos 6.5 actualizado de repositorios oficiales. No tengo modulos SSH instalados, ni ningún otro modulo . Según OVH contaminado hasta las trancas
Yo no suelo usar repositorios no oficiales, por lo menos en estos tres servidores no lo he hecho. Tengo más servidores en otros proveedores con una configuración muyy similar y sin problemas.

Si estás interesado echale un vistazo a está web https://www.hkcert.org/my_url/en/blog/13031201
En mi caso si hago ipcs -m
---- Segmentos memoria compartida ----
key shmid propietario perms bytes nattch estado
0x000009e4 0 root 666 3179912 0


y al chequear keyutils library
# rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL

Según esa página NO ESTARIA INFECTADO, pero para OVH todos los servidores están infectados. y me temo lo peor.. por parte de estos lumbreras.

Seguiré investigando y haciendo pruebas y revisando todo lo revisable, tengo la sensación que es más un fallo de sus alertas que una infección real

saludos y gracias por tú tiempo

P.D.

Lo que si agradeceria a quién tenga algún server en OVH con centos es que haga esas mismas pruebas y compruebe si los resultados son iguales o similares y si le han mandado alguna alerta

tfwfactory
20/01/2014, 19:02
Trabajo con zpanelx hace varios años , por eso es importante saber como lo has instalado el tema con zpanelx y que repositorios te instalas o bajas y como lo haces , entonces en primer lugar que versión de zpanelx tienes instalada , la última con el nuevo skin ?

Importante saber si tienes algún módulo instalado de SSH , no son seguros y no debes ponerlos , de igual modo saber que módulos tienes instalados no oficiales o bien de reciente instalación como el modulo para SSL , etc

También saber si has instalado zpanelx en contenedores con proxmox o bien es en un servidor sin usar virtualización ?

Tal vez y digo tal vez puede que si el problema se te dio poco despues , que lo que causa todo esto sea un módulo o una mala instalación ya que zpanelx debe instalarse con el repositorio correcto , solemos instalar zpanelx con los repositorios oficiales o de uno de los desarrolladores del foro que se llama Caffeine , esos son los correctos y muy testeados , pero pasame información y en lo que pueda te ayudo

Un saludo

jiuston
20/01/2014, 15:30
Cita Publicado inicialmente por tfwfactory
Una idea que quizás pudiese servir dado que el problema seguramente es una libreria que posee el código malicioso , sería poner el servidor en modo rescue y sustituir a mano esas librerias entrando por el ssh y montando los discos , en teoría podría ser una solución menos dura que reinstalarlo todo dado que el troyano en si mismo puede haberse colado en algunos repositorios según parece , a posterior cambiar todas las claves ssh , etc

Tal vez pueda funcionar y por probarlo no estaría demás , de igual modo verificar si recientemente has realizado algún upgrade como una lista de las librerias instaladas , por cierto usas cpanel ?

Saludos
Hola TF, gracias por tus consejos. pero... sustituir a mano que librerias?? todas las del sistema? las que he puesto en mi post anterior que estan "sanas"?? no entiendo....

Si leiste mi último post verás que en el digo... según la página esa que he puesto el link "en teoria " mi servidor no deberia estar infectado pero OVH cree que si y por eso me abre las incidencias.

En este servidor que he puesto tengo zpanel, en los otros servidores webmin

NO, no he instalado nada "extraño o de dudosa procedencia"

Para mi que es una "falsa alarma" de OVH lo malo es que como se pongan cabezones..... ya sabemos lo que pasa

Asi todo, muchisimas gracias por tus consejos, saludos cordiales

tfwfactory
20/01/2014, 14:47
Una idea que quizás pudiese servir dado que el problema seguramente es una libreria que posee el código malicioso , sería poner el servidor en modo rescue y sustituir a mano esas librerias entrando por el ssh y montando los discos , en teoría podría ser una solución menos dura que reinstalarlo todo dado que el troyano en si mismo puede haberse colado en algunos repositorios según parece , a posterior cambiar todas las claves ssh , etc

Tal vez pueda funcionar y por probarlo no estaría demás , de igual modo verificar si recientemente has realizado algún upgrade como una lista de las librerias instaladas , por cierto usas cpanel ?

Saludos

jiuston
20/01/2014, 11:29
Cita Publicado inicialmente por oceano
Hola Jiuston,

Creo que por mucho que busques en los logs no vas a encontrar nada. Algo me dice que tienes el sistema desactualizado, porque no has hecho referencia a un solo post de Kernel, Sistema, Iptables.

Si tienes el sistema desactualizado será complicado que llegues a encontrar algo en los logs, pero no imposible !

Por cierto, Tripwire debes tenerlo instalado antes de analizar y si lo tienes ya, no esperes que te diga lo que tenías hace un mes sin haberlo instalado antes.


Un saludo !
Hola oceano; El sistema esta actualizado, cada servidor esta actualizado
por ejemplo. en el que estoy ahora mismo.
Centos 6.5
kernel 3.10.23-xxxx-grs-ipv6-64
En cuanto a iptables tengo una configuración restrictiva que no se si viene al caso ponerla aqui ni que relación puede tener con la solución al problema que tengo y necesito resolver.

Los otros servidores tiene centos 6..5 actualizados y con iptables similares

He pasado muchas horas con este asunto y leyendo muchas web donde se trata este asunto. No se si tú lo has hecho pero en todos los casos coinciden en algo.
Rkhunter - clamav no sirven de nada !!!
csf ya lo tenia configurado desde el momento que hice la instalación y nunca he tenido problemas
tripwire, no lo tenia instalado y entiendo que no pueda darme información de lo que ha pasado cuando no estaba instalado.. hasta ahi llego sin problemas.

Coincidencia absoluta de todas las web consultadas sobre este virus. Reinstalación sistema y muy importante usar contraseña nueva, no la misma que tenias anteriormente.

Opinión particular mia.... me suena todo muy raro. me explico: vale que los log no me digan mucho... asi todo los revise muy detenidamente. he revisado cada servicio y aplicación que esta corriendo en el sistema, es más.... he dejado el sistema en minimos... he comprobado con otro servidor misma versión sistema operativo y configurandolo exactamente igual... he comprobado cada archivo ( fecha, tamaño bytes ) archivos .cnf .cfg etc de las aplicaciones abiertas o servicios y son exactamente los mismos. No encuentro explicación lógica y ahora mismo es mas cabezoneria por detectar "donde esta el bicho" que por otra cosa... nose.. me suena a "alarma" por defecto del sistema de avisos de OVH...

Si estás interesado echale un vistazo a está web https://www.hkcert.org/my_url/en/blog/13031201
En micaso si hago ipcs -m
---- Segmentos memoria compartida ----
key shmid propietario perms bytes nattch estado
0x000009e4 0 root 666 3179912 0

y al chequear keyutils library
# rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
Q si hago caso a esa página mi sistema no esta infectado, pero OVH me informa de 3 servidores con 3 IPfo y todos con el bicho.... raro muy raro

Un cordial saludo y gracias

oceano
20/01/2014, 10:10
Hola Jiuston,

Creo que por mucho que busques en los logs no vas a encontrar nada. Algo me dice que tienes el sistema desactualizado, porque no has hecho referencia a un solo post de Kernel, Sistema, Iptables.

Si tienes el sistema desactualizado será complicado que llegues a encontrar algo en los logs, pero no imposible !

Por cierto, Tripwire debes tenerlo instalado antes de analizar y si lo tienes ya, no esperes que te diga lo que tenías hace un mes sin haberlo instalado antes.


Un saludo !

jiuston
20/01/2014, 09:57
Hola; menudo fin de semana....

Antes de nada, agradecer a todos los que han intentado ayudar o compartir experiencias con algo similar.

Ya tenia instalado CSF antes del "contagio" y creo que bien configurado...
Rkhunter no reconoce ese rootkit, asi todo lo instale scanee y no muestra ningún contagio
Clamav tampoco reconoce este virus, pero asi todo lo he instalado y no muestra ninguna alarma
Tripwire, tampoco muestra ninguna alarma

En cuanto a una posible infección en los ordenadores desde los que me conecto... podría ser, pero lo dudo muchisimo

Todas las páginas que habkan algo sobre este virus aconsejan reinstalar el sistema y..."cambiar la contraseña" la pereza me puede. He estado todo el fin de semana revisando cada log, cada archivo del sistema en los 3 servidores-... y no veo nada.

Nuevamente gracias a todos los que habeis intentado ayudar, saludos

P.D. si encuentro algo más sobre este virus o manera de quitarlo lo pondré aquí.

oceano
20/01/2014, 07:09
Hola, buenos días.

Tassadar, no molestes.

Bueno, me explicaré un poco más para que puedas llegar a entenderlo, visto tus preguntas en el foro y ver que tú eres de los que hablan y hablan y hablan y aportan 0, tendré que hacerlo.

En primer lugar, si las personas que entienden y se les puede sacar partido a sus palabras han dejado de postear en el foro, es por el sencillo motivo de que hay personas que sólo saben criticar y criticar a OVH y de aportar 0,0. Y lo mejor del tema, siguen aquí dando vueltas como los mosquitos en verano.

Estaría genial que a todas estar personas que sólo saben que hablar lo mal que lo hace OVH y están todo el día mareando se largaran de una vez de aquí y dejaran tranquila a las personas que intentan aportar y ser constructivos.

Por otra parte, lo que ha hecho Tfwfactory, es únicamente copiar. Siguiendo el hilo, uno más que aporta 0. y Si tú lo ves normal, tranquilo que te comprendo.

Y la verdad, me hace mucha gracia estas personas que entran, escriben 1 post el mismo día que abren el Nick y luego desaparecen. Y no tiene ningún tipo de relación con el tema de la " isla " que lo dije bien claro, pero es normal que tú tampoco lo entendieras...

// Por cierto, ayer escuché en la radio mientras volvía a casa una isla que " dicen " aparece desaparece en el archipiélago canario en la parte más al oeste. Y no es coña...

He leído en alguna ocasión en el foro que ha dicho era de Canarias. En ningún momento he querido crear problemática, si tú no entiendes el párrafo anterior, igual que tampoco entendió él, problema mio no es. En ningún momento he querido traer controversia.

Si él intenta hacer suyo algo que no lo es, discúlpame, pero si tú esto lo ves normal... Tranquilo, después de ver la corrupción que hay en nuestro país, tampoco me asusto ya.

Y por cierto, no voy a ser uno más que escribe unos párrafos bíblicos con sus sermones.

Punto final por mi parte. Buen día y suerte con vuestros post.

Un saludo !

oceano
19/01/2014, 18:32
Hola Tj

Los demás no sé si sabrán, pero lo que tengo claro es que tú no lo sabías. No hubieras copiado así a la ligera sin más algo que no es tuyo queriendo hacerlo propio.

Y espero que ahora te quede bien claro y no me quieras intentar vender el cielo verde y el mar naranja...

Y de dónde has sacado que soy canario ?


Venga, un saludo artista !

tfwfactory
19/01/2014, 18:05
Cita Publicado inicialmente por oceano
Hola Tj,

Te explico, así para la próxima seguro puedes ir más rápido aún y cada uno que lea hasta donde quiera, el saber no ocupa espacio, o eso dicen...
http://foros.ovh.es/showthread.php?1...inux-Malware#6 Actualizando Clamav y Sistema

Si te fijas, cuando quieres hacer referencia a un post explicito en una página, sólo debes poner al final del " AquiEnlace#NumeroPost " así de sencillo.

// Por cierto, ayer escuché en la radio mientras volvía a casa una isla que " dicen " aparece desaparece en el archipiélago canario en la parte más al oeste. Y no es coña...


Un saludo !
Gtacias por tus explicaciones hombre , jaja sino es por ti no sabemos manejar un foro , que majete

Te debe referir a San Borondón aunque siendo de Canarias deberias saberlo no ? Usa Google ..... es sencillo

oceano
19/01/2014, 17:57
Hola Tj,

Te explico, así para la próxima seguro puedes ir más rápido aún y cada uno que lea hasta donde quiera, el saber no ocupa espacio, o eso dicen...
http://foros.ovh.es/showthread.php?1...inux-Malware#6 Actualizando Clamav y Sistema

Si te fijas, cuando quieres hacer referencia a un post explicito en una página, sólo debes poner al final del " AquiEnlace#NumeroPost " así de sencillo.

// Por cierto, ayer escuché en la radio mientras volvía a casa una isla que " dicen " aparece desaparece en el archipiélago canario en la parte más al oeste. Y no es coña...


Un saludo !

tfwfactory
19/01/2014, 16:29
Cita Publicado inicialmente por oceano
Hola, buenos días.

Tf, hubiera sido más sencillo que copiaras el enlace !
http://foros.ovh.es/showthread.php?1...-Malware/page2

http://foros.ovh.es/showthread.php?1...inux-Malware#6 Actualizando Clamav y Sistema
http://foros.ovh.es/showthread.php?1...i%F3n-iptables Actualizando iptables
http://foros.ovh.es/showthread.php?1...6798#post76798 + Script Sistema
http://foros.ovh.es/showthread.php?1...-042stab078-22 Kernel para sistemas OpenVZ. Si se actualiza el VPS luego hay que reinicar el padre y si lo haces, igual tu owner se mosquea.
http://foros.ovh.es/showthread.php?1...N-ONO/page5#47 recomendaciones generales

Un saludo !
Obvio , pero en ese enlace vienen cosas que no las necesita y de este modo no lo liamos más , asi de simple , saludos

oceano
19/01/2014, 10:17
Hola, buenos días.

Tf, hubiera sido más sencillo que copiaras el enlace !
http://foros.ovh.es/showthread.php?1...-Malware/page2

http://foros.ovh.es/showthread.php?1...inux-Malware#6 Actualizando Clamav y Sistema
http://foros.ovh.es/showthread.php?1...i%F3n-iptables Actualizando iptables
http://foros.ovh.es/showthread.php?1...6798#post76798 + Script Sistema
http://foros.ovh.es/showthread.php?1...-042stab078-22 Kernel para sistemas OpenVZ. Si se actualiza el VPS luego hay que reinicar el padre y si lo haces, igual tu owner se mosquea.
http://foros.ovh.es/showthread.php?1...N-ONO/page5#47 recomendaciones generales

Un saludo !

Samael
18/01/2014, 17:38
Viví algo parecido tiempo atrás.
Reinstale mi PC, compre nod32, reinstale todos los server de nuevo y nunca más me paso.

tfwfactory
18/01/2014, 16:24
Revisa que tu computador esté limpio , muchas veces las cosas entran por ahí aunque parezca raro y siendo tres y siendo manejados desde el mismo computador pues huele a que algo puede habérsete colado , un saludo y buena suerte

jiuston
18/01/2014, 14:05
Hola TF, muchisimas gracias voy a probar.
Estoy alucinando 3 servidores con 3 ip cada uno y en tres días TODOS con lo mismo...

Un saludo y nuevamente muchisimas gracias

tfwfactory
18/01/2014, 13:49
Usa esto en tu servidor :

# Tripwire
http://foros.ovh.es/showthread.php?t=9025 (Podrás hacerte una idea qué está pasando en tu servidor)

# CSF -LFD
http://configserver.com/cp/csf.html (Fíjate abajo)

# Rkhunter ( Si instalaste el repositorio {#wget -q -O - http://www.atomicorp.com/installers/atomic | sh } de AtomiCorp, con un simple # yum install rkhunter, bajo CentOS te realizará la instalación. )
http://rkhunter.sourceforge.net/
http://sourceforge.net/apps/trac/rkhunter/wiki/SPRKH


Elimina también cualquier llave de SSH


Saludos

jiuston
18/01/2014, 12:27
Hola; en los últimos 3 días he recibido de cada servidor que tengo y de cada IP este mensaje "preocupante". Está de más decir que no soy un experto y me sorprende que en menos de 72 horas TODOS los servidores y TODAS las IP esten afectadas por este rootkit/backdoor

Alguién le ha pasado algo así? y aparte de reinstalar como dicen... no hay plan B?

Un cordial saludo a todos

Mensaje en el manager
Estimado(a) Cliente,

Se ha detectado una actividad irregular en su servidor XXXXX.XXXXX

No dude en contactar con nuestro soporte tecnico para que esta situacion
no se vuelva critica.

Podra encontrar mas abajo los logs indicados por nuestro sistema que han
dado lugar a esta alerta.

- INICIO DE INFORMACIONES COMPLEMENTARIAS -

Dear Customer,

We received complaints against your server from CERTA.

It seems that your server is compromised by the "Ebury" which is an SSH rootkit/backdoor trojan for Linux and Unix-style operating systems.


16122 | xxx.xxx.xxx.xxx | FR | 2014-01-09 09:55:12 | OVH OVH Systems


You can find further information about this trojan in this link:

https://www.cert-bund.de/ebury-faq


For your your security would you fix this issue as soon as possible.