OVH Community, your new community space.

AYUDA!!! han atacado mi servidor


il15
17/06/2008, 18:03
gracias josu, pero como busco que archivo ha sido el responsable?? la verdad es que estoy un poco perdido con esto de los comandos, que comandos debo usar?
josu
17/06/2008, 17:17
Te recomiendo:

1.- Haz una copia de seguridad de los datos, SOLO los datos.

2.- Haz una copia del sistema entero.

3.- Reinstala el servidor y aplica la última copia de seguridad (con ésta no me refiero ni a la obtenida en la parte 1 ni en la 2) que tengas y que estés seguro que no está infectada. No actives los servicios especialmente la web.

4.- Actualiza los datos "desfasados" con los obtenidos en la parte 1. Aseguraté que no se te cuela ningún posible troyano en ello.

5.- Busca como te han "metido" el gusano en la copia obtenida en la parte 2. Posiblemente sea alguna aplicación web, algún foro phpBB o aplicación similar no actualizada. Rebusca en los logs del apache y demás.

6.- Cuando estés seguro de quién ha sido el culpable, activa de nuevo los servicios.
Lo no recomendable:

1.- Entra en modo rescue.

2.- Elimina (mejor cópiatelos para analizarlos más tarde) todos los archivos de la infección.

3.- Busca el agujero por donde se han colado. Si no lo encuentras se volverá a infectar el sistema con el tiempo.

4.- Pasa alguna aplicación tipo "chrootkit" o "rkhunter". Algunas distribuciones te permiten comprobar si la huella MD5 de los archivos corresponde con el paquete original. O al menos reinstala encima el kernel con sus módulos, las libc6 y en general las utilidades más importantes.

5.- Ya puedes reiniciar el servidor en modo normal.
Este método no lo recomiendo porque nunca estarás seguro de haberlo limpiado todo.

El paso a veces más complicado es encontrar la aplicación por donde se han metido. Como ya te he dicho normalmente se cuelan por aplicaciones web muy conocidas y que no han sido actualizadas debidamente.

Por cierto, OVH infogerencia tiene una tarea que es eliminar un troyano, aunque no se lo fiables que son realizándolo.

Josu.

PD: Este post es un resumen a GRANDES RASGOS de algunos pasos a seguir. Hay otras medidas que se pueden tomar y sobre todo preventivas, pero un foro da para lo que da ...
il15
17/06/2008, 10:41
Como lo arreglo?? no tengo ni idea de que hacer:

ksxxxx ~ # ps auwxf | grep ovh
root 20394 0.0 0.0 1780 608 pts/0 R+ 10:26 0:00 \_ grep --colour=auto ovh
ovh 11742 0.0 0.0 1352 196 ? Ss Jun15 0:00 sshd
ovh 15367 0.0 0.0 1352 244 ? S 09:48 0:00 \_ sshd
ovh 15368 0.0 0.1 2856 1416 ttyp1 Ss 09:48 0:00 \_ sh -i
ovh 19376 0.0 0.1 2596 1184 ttyp1 S+ 10:18 0:00 \_ /bin/bash ./a 66.110
ovh 19377 83.1 0.0 1476 464 ttyp1 R+ 10:18 6:03 \_ ./pscan2 66.110 22
ovh 13118 0.0 0.0 1916 896 ? Ss Jun15 0:01 bash
ksxxxxx ~ #


pscan2 19377 ovh 3w REG 8,1 0 124410 /tmp/linuxteam/66.110.pscan.22


ksxxxxx tmp # ls -al -R | egrep -v sess
.:
total 5956
drwx------ 3 ovh ovh 4096 jun 12 20:06
drwxrwxrwt 9 root root 40960 jun 17 10:27 .
drwxr-xr-x 18 root root 4096 mar 12 14:36 ..
-rw-r--r-- 1 ovh ovh 354 jun 14 02:36 horde.log
drwxrwxrwt 2 root root 4096 jun 14 11:13 .ICE-unix
drwx------ 4 ovh ovh 4096 oct 14 2007 jajaY
-rw------- 1 ovh ovh 4404268 oct 14 2007 jajaY.tgz
-rw-r--r-- 1 root root 6 mar 16 2007 LATEST-VERSION-IS
drwx------ 2 ovh ovh 4096 jun 13 15:50 LC_MESSAGES
drwx------ 2 ovh ovh 4096 jun 17 10:18 linuxteam
-rw------- 1 ovh ovh 1080718 jun 7 12:33 linuxteam.tgz
-rw------- 1 ovh ovh 346 jun 13 15:48 r.pl
-rw-r--r-- 1 root root 5 jun 17 10:27 rtm.flock
drwxr-xr-x 2 root root 4096 jun 15 11:46 .webmin
drwxrwxrwt 2 root root 4096 jun 14 11:13 .X11-unix


./linuxteam:
total 2428
drwx------ 2 ovh ovh 4096 jun 17 10:18 .
drwxrwxrwt 9 root root 40960 jun 17 10:27 ..
-rw------- 1 ovh ovh 0 jun 17 09:46 133.2.pscan.22
-rw------- 1 ovh ovh 0 jun 17 10:18 66.110.pscan.22
-rwx------ 1 ovh ovh 366 oct 24 2005 a
-rwx------ 1 ovh ovh 12336 nov 11 2005 a1
-rwx------ 1 ovh ovh 4734 nov 24 2005 a2
-rwx------ 1 ovh ovh 832 nov 24 2005 a3
-rwx------ 1 ovh ovh 206 jul 22 2004 auto
-rwx------ 1 ovh ovh 22354 dic 2 2004 common
-rwx------ 1 ovh ovh 265 nov 25 2004 gen-pass.sh
-rwx------ 1 ovh ovh 92 abr 6 2005 go.sh
-rwx------ 1 ovh ovh 2417 may 26 2005 pass_file
-rwx------ 1 ovh ovh 2270 may 26 2005 pass_filees
-rwx------ 1 ovh ovh 167964 mar 16 2001 pico
-rwx------ 1 ovh ovh 21407 jul 21 2004 pscan2
-rwx------ 1 ovh ovh 453972 jul 12 2004 ss
-rwx------ 1 ovh ovh 842424 sep 6 2004 sshf
-rwx------ 1 ovh ovh 842736 nov 24 2004 ssh-scan
-rwx------ 1 ovh ovh 3957 nov 24 2005 start
-rwx------ 1 ovh ovh 32 nov 24 2005 vuln.txt


ksxxxx tmp # ls -al -R
.:
total 32
drwxrwxrwt 8 root root 4096 jun 15 16:11 .
drwx------ 3 ovh ovh 4096 jun 15 16:11 .
drwxr-xr-x 13 root root 4096 jun 2 2006 ..
drwx------ 2 ovh ovh 4096 jun 13 21:50 bind
drwxrwxr-x 2 portage portage 4096 may 28 11:57 binpkgs
drwx------ 3 ovh ovh 4096 jun 12 21:20 .botz
drwxrwxr-x 3 portage portage 4096 may 28 11:57 portage
drwx------ 2 ovh ovh 4096 jun 15 22:57 .saw

./.saw:
total 3240
drwx------ 2 ovh ovh 4096 jun 15 22:57 .
drwxrwxrwt 8 root root 4096 jun 15 16:11 ..
-rwx------ 1 ovh ovh 314 jul 2 2007 a
-rw------- 1 ovh ovh 1388544 jul 2 2007 core
-rw------- 1 ovh ovh 30584 jun 15 23:24 nobash.txt
-rw------- 1 ovh ovh 188386 jun 22 2007 pass.txt
-rwx------ 1 ovh ovh 5944 may 16 2005 pscan2
-rw------- 1 ovh ovh 12205 jun 15 23:02 scan.log
-rwx------ 1 ovh ovh 249980 feb 13 2001 screen
-rwx------ 1 ovh ovh 1384518 jun 5 2005 sshd
-rwx------ 1 ovh ovh 8885 sep 29 2007 start
-rw------- 1 ovh ovh 192 jun 15 22:02 vuln.txt