OVH Community, your new community space.

El misterio del directorio imborrable


tuas2k
24/06/2014, 22:29
muchas gracias a todos, me pongo manos a la obra (ya veremos cuál, si la de reparar o formatear), y os cuento.

antonio

Samael
23/06/2014, 01:09
Otra buena medida es bloquear todas las funciones de php peligrosas y que no uses.

mirill
22/06/2014, 22:51
Pero aún así la principal recomendación es formatear y empezar de cero. Una vez te han entrado en el servidor, nunca puedes estar seguro de que no te hayan metido troyanos que las herramientas actuales no detectan. Y eso significa que en el futuro volverán a machacarte.

Siliconworld
22/06/2014, 21:24
Cita Publicado inicialmente por tuas2k
pero sigo necesitando vuestra ayuda, como blindo el servidor, sabiendo que hay blogs a los que hay que entrar y plataformas educativas a las que hay que acceder.

muchas gracias
Te recomiendo la combinación de CSF/LFD, RKHunter, Maldetect y ClamAV. Con CentOS 6.5 y Directadmin es muy sencillo de instalaros y ponerlos a funcionar.

Suerte.

tuas2k
22/06/2014, 19:20
oceano, solucionado, chttr funciono, pero no con -i, con -a. el hacker lo quiso hacer imborrable y es con +a con lo que lo haces imborrable, para quitar la "imborrabilidad" usas -a. a partir de ahí rm y a correr.

pero sigo necesitando vuestra ayuda, como blindo el servidor, sabiendo que hay blogs a los que hay que entrar y plataformas educativas a las que hay que acceder.

muchas gracias

tuas2k
22/06/2014, 18:00
gracias samael, creo que al final voy a tener que formatear, pero no voy a perder la esperanza de vencer al hacker.

oceano, gracias, pero no me deja, al menos no en modo normal, voy a intentarlo en modo rescue y os cuento.

gracias, se admiten más sugerencias

antonio

oceano
20/06/2014, 22:52
Hola, buenas noches !

Fulminati... no sé muy bien si es gerundio XD

# stat archivo
# chattr -i archivo
# rm -rf archivo

Un saludo !

Samael
20/06/2014, 20:37
Si te hackearon y metieron todo eso dentro es "casi" imposible limpiar luego y encontrar todo donde metieron cosas, lo mejor es formatear y luego securizar todo en nivel Dios, lejos esa es la mejor opción.

tuas2k
20/06/2014, 18:47
me he dado cuenta de que alguien está utilizando mi servidor dedicado, de almacen de pelis guarras y otras piratadas. mediante el comando:

find / -type f -size +80000k -exec ls -lh {} \; | awk '{ print $NF ": " $5 }'

me ha salido una larga lista que os dejo (en modo abreviado que es mucho más larga), para haceros después la pregunta.

root@ks34331:~# find / -type f -size +80000k -exec ls -lh {} \; | awk '{ print $NF ": " $5 }'
find: ?/proc/16365/task/16365/fd/5?: No existe el fichero o el directorio
find: ?/proc/16365/task/16365/fdinfo/5?: No existe el fichero o el directorio
find: ?/proc/16365/fd/5?: No existe el fichero o el directorio
find: ?/proc/16365/fdinfo/5?: No existe el fichero o el directorio
/root/openmeetings_1_5_rc1_r3393.zip: 81M
/Montagues.Mount.MACOSX-SMACKs.tar: 717M
/Garmin.City.Navigator.USA.NT.2014.40.MULTiLANGUAGE-NAViGON.tar: 1,6G
/Street.Fighter.Assassin_s.Fist.2014.HDRip.XviD-HELLRAZ0R.avi: 882M
/The.Nut.Job.2014.BDRip.x264-SPARKS.mkv: 672M
/Final.Cut.Homage.Collectors.Edition.v1.0-TE.tar: 1,3G
/Monster.High.Licht.aus.Grusel.an.German.2014.AC3.D VDRiP.x264-XF.mkv: 716M
/Das.Universum-Kosmische.Feuerstuerme.German.DOKU.WEBRIP.AC3.WS.H 264.OLDFATHER.avi: 636M
/A.Field.in.England.German.2013.AC3.BDRiP.x264-XF.mkv: 936M
/Godzilla.2014.CAM.x264.AC3.TiTAN.mkv: 1,2G
/Robocop.R6.MD.German.X264-EMULE.mkv: 1,7G
/A.Fighting.Man.2014.DVDRip.X264.AC3-EVO.mkv: 1,4G
/Devils.of.War.2013.German.720p.BluRay.x264-iFPD.mkv: 2,6G
/Windows.7.All-in-One.x64.x86.Integrated.April.2014.DVD9.German-rahab.iso: 6,1G
/Kid.Cannabis.2014.LIMITED.1080p.BluRay.x264-GECKOS.mkv: 7,7G
/Winters.Tale.2014.DVDRip.XviD.AC3-MiLLENiUM.avi: 1,7G
/Honour.2014.720p.WEBrip.XVID.AC3.ACAB.avi: 2,7G
/Scarlet.Young.Abenteuet.Lust.XXX.720P.WEBRIP.X264-GUSH.mp4: 6,2G
/Kollegah-King-DE-2014-VOiCE.tar: 135M
/Call.of.Duty.Ghosts.Devastation.DLC.XBOX360-Kolo.tar: 1,3G
etc
etc...

no sé muy bien cómo, averigué que el posible directorio que contenía todo este "tesoro", estaba en /var/spool/at, que no tengo muy claro para qué es. el caso es que cuando quiero entrar a "at", me dice que no hay nada, le digo (como root) que cambie los permisos a algo que sea accesible y me dice que tururú. le digo: ah sí? y me pongo chulo y reinicio en modo rescue. y cuando ya me las prometía muy felices, va y me dice que permiso denegado para entrar, para cambiar, para mover y (ya absolutamente desesperado) para borrar.

he sacado la bandera blanca, le he dicho que voy a hablarlo con unos amigos y que se va a enterar.

cualquier ayuda será bien recibida. sé que tengo la última solución que es la de formatear, pero coño! que soy "root", y que tengo que poder entrar donde me salga de los webs..., o no?

gracias por adelantado
antonio