OVH Community, your new community space.

Ataques desde uno de mis servidores?


puesyomismo
10/01/2009, 21:45
Por favor, ¿no hay nadie que pueda ayudarme?
Me han respondido del soporte diciendome que es debido a un programa que realiza varias conexiones a la vez a diversos servidores...
¿que puedo hacer?

puesyomismo
04/01/2009, 19:17
Cita Publicado inicialmente por sdzzds
1) Me alegro.


2) Para evitar problemas de envio de correos con cpanel y evitar los correitos de OVH habilitar el smtp tweak (Security Tweak)
3) Creo que el origen de este post no habla de nada de esto
No tengo cpanel en mi dedicado... ¿hay alguna forma de poner eso para que dejen de enviarme los mails sin el cpanel?

sdzzds
03/01/2009, 23:58
Cita Publicado inicialmente por puesyomismo
Pues en vista de que nada de lo que hago para que dejen de enviarme los avisos funciona, de que aquí nadie contesta y que el soporte técnico lleva ignorandome 4 días, no voy a renovar el dedicado, gracias a todos por u tiempo y saludos.
1) Me alegro.


2) Para evitar problemas de envio de correos con cpanel y evitar los correitos de OVH habilitar el smtp tweak (Security Tweak)
3) Creo que el origen de este post no habla de nada de esto

puesyomismo
03/01/2009, 22:42
Pues en vista de que nada de lo que hago para que dejen de enviarme los avisos funciona, de que aquí nadie contesta y que el soporte técnico lleva ignorandome 4 días, no voy a renovar el dedicado, gracias a todos por u tiempo y saludos.

puesyomismo
03/01/2009, 12:39
Cita Publicado inicialmente por itimag
yo probé el rtorrent con una distribución linux para ver que tal iba. De esto ya hace tiempo.

También hace tiempo (cuando la limpieza de la red de OVH) que se cerraron una serie de servidores dedicados sin aviso alguno ya que infringían el contrato. Con el simple hecho de transferir información con derecho de copia estararías infringiendo el contrato que tienes con ovh.

Resulta que los isp reciben avisos de bots que circulan por los trackers públicos en los que se informa del fichero y de la ip. OVH tomó medidas y canceló una serie de servidores. Se dijo que a partir de aquel momento se darían 3 avisos por mail.
Como??
yo se de gente de aquí que bajan del mismo traker que yo (y ademas veo sus ips en mi cliente) y me han dicho que a ellos no les envian los mails esos de los escaneres...

itimag
03/01/2009, 12:33
yo probé el rtorrent con una distribución linux para ver que tal iba. De esto ya hace tiempo.

También hace tiempo (cuando la limpieza de la red de OVH) que se cerraron una serie de servidores dedicados sin aviso alguno ya que infringían el contrato. Con el simple hecho de transferir información con derecho de copia estararías infringiendo el contrato que tienes con ovh.

Resulta que los isp reciben avisos de bots que circulan por los trackers públicos en los que se informa del fichero y de la ip. OVH tomó medidas y canceló una serie de servidores. Se dijo que a partir de aquel momento se darían 3 avisos por mail.

puesyomismo
03/01/2009, 12:24
Acabo de probar con otro programa y también me envian al mail...
QUE ALGUIEN ME AYUDE POR FAVOR!!

puesyomismo
03/01/2009, 10:22
Cita Publicado inicialmente por manolo
Yo no sé qué decirte, no uso torrent.
Pero puesto que los problemas te vienen cuando pones en marcha el cliente torrent, yo en tu lugar cambiaría el puerto de ese cliente. Si eso no sirve de nada, mejor que cambies de cliente o que revises bien su configuración.
Yo ya no se que hacer...
He cambiado los puertos del programa, he bloqueado el puerto ese (32767) en el firewall, tanto de salida como de entrada y en todos los protocolos...
Uso el Deluge como cliente de torrent...
¿saben otro? ¿o alguien sabe que puede estar pasando?
Porque se de gente que tiene dedicados aquí como yo y usan el torrent y no les envian nada... estoy por ignorar los mails y seguir...

manolo
03/01/2009, 01:54
Yo no sé qué decirte, no uso torrent.
Pero puesto que los problemas te vienen cuando pones en marcha el cliente torrent, yo en tu lugar cambiaría el puerto de ese cliente. Si eso no sirve de nada, mejor que cambies de cliente o que revises bien su configuración.

puesyomismo
02/01/2009, 23:12
Por favor, que alguien me ayude...
He descubierto que todas las ips que salen en el log empiezan por 8 y son del ISP "ya.com", y casi todas van al puerto remoto 4662
¿Alguien puede ayudarme?

puesyomismo
02/01/2009, 20:16
Cita Publicado inicialmente por manolo
No, en mi caso no tenía nada que ver con un cliente torrent sino con lo que Lostmon explica 4 posts más arriba, ya que mirando los logs tenía entradas idénticas a las que él puso. Solución: la que el daba y algunas otras medidas de seguridad de las que se han hablado en esos foros.

Mira el email que hayas recibido. Una línea como ésta:
---
2008-11-28 19:09:58 2008-11-28 19:09:58 91.xxx.xxx.xx:32767 81.247.128.242:29428
---
quiere decir que en la fecha tal, a tal hora, tu servidor (91.xxx.xxx.xx) intentó conectar por el puerto tal (32767 en el ejemplo) con tal Ip por tal puerto.

Si ese puerto es el que usa tu cliente torrent, la culpa será como dices de ese cliente. Pero si el puerto es otro, no.
Si la culpa es de tu cliente torrent, quizá puedas arreglarlo, no lo sé, cambiando en las preferencias del cliente el puerto, número de conexiones permitidas...
Creo que he confirmado que es del torrent, y le tengo puesto los puertos por defecto ) del 6881 al 6889)
Aunque el escan me dá en el puerto de salida 32767 como a ti.
Aun que solo me mandan los mails cuando tengo el torrent encendido, sino no los mandan.
alguien sabe que debo hacer??? que hiciste tu??

manolo
02/01/2009, 19:56
Cita Publicado inicialmente por puesyomismo
Eso es que has puesto un clinte de torrent... a mi me pasa lo mismo en cuanto lo pongo... ¿hay alguna solución? ¿alguien sabe?
No, en mi caso no tenía nada que ver con un cliente torrent sino con lo que Lostmon explica 4 posts más arriba, ya que mirando los logs tenía entradas idénticas a las que él puso. Solución: la que el daba y algunas otras medidas de seguridad de las que se han hablado en esos foros.

Mira el email que hayas recibido. Una línea como ésta:
---
2008-11-28 19:09:58 2008-11-28 19:09:58 91.xxx.xxx.xx:32767 81.247.128.242:29428
---
quiere decir que en la fecha tal, a tal hora, tu servidor (91.xxx.xxx.xx) intentó conectar por el puerto tal (32767 en el ejemplo) con tal Ip por tal puerto.

Si ese puerto es el que usa tu cliente torrent, la culpa será como dices de ese cliente. Pero si el puerto es otro, no.
Si la culpa es de tu cliente torrent, quizá puedas arreglarlo, no lo sé, cambiando en las preferencias del cliente el puerto, número de conexiones permitidas...

puesyomismo
02/01/2009, 18:53
Cita Publicado inicialmente por manolo
Yo he recibido hoy este email:

––––
Estimado Cliente,
Hemos detectado un SCAN de puerto y/o de tentativas de intrusión
desde su servidor.
Le solicitamos que localice el origen de estas conexiones y corregir
en el menor plazo posible todo fallo de seguridad que haya identificado.

En el caso en que esas conexiones fueran legitimamente efectuadas desde
su servidor, le solicitamos que personalice la inversa del
servidor : http://guias.ovh.es/PersonalizarLaInversa

Si ninguna acción fuera llevada a cabo, estariamos en la obligación de desactivar su servidor.


--------------------------- LOGS DE SCAN ---------------------------

Watch for network scanning or Worm diversify. Many connections to different machines, to the same port from the same source IP. TCP.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2008-11-28 19:09:58 2008-11-28 19:09:58 91.xxx.xxx.xx:32767 81.247.128.242:29428
2008-11-28 19:10:07 2008-11-28 19:10:07 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:09:58 2008-11-28 19:09:58 91.xxx.xxx.xx:32767 81.247.141.67:29428
2008-11-28 19:10:10 2008-11-28 19:10:10 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:10:16 2008-11-28 19:10:16 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:10:28 2008-11-28 19:10:28 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:10:34 2008-11-28 19:10:34 91.xxx.xxx.xx:32767 91.177.41.93:29428
2008-11-28 19:10:37 2008-11-28 19:10:37 91.xxx.xxx.xx:32767 91.177.41.93:29428
2008-11-28 19:10:39 2008-11-28 19:10:39 91.xxx.xxx.xx:32767 87.66.46.175:29428
2008-11-28 19:10:40 2008-11-28 19:10:40 91.xxx.xxx.xx:32767 81.247.151.210:29428
2008-11-28 19:10:43 2008-11-28 19:10:49 91.xxx.xxx.xx:32767 81.247.151.210:29428


--------------------------- FIN DES LOGS ---------------------------

----


He personalizado la inversa, aunque nada en el servidor tendría por qué intentar esas conexiones.
¿A alguien le pasa lo mismo? ¿Alguna sugerencia?
Eso es que has puesto un clinte de torrent... a mi me pasa lo mismo en cuanto lo pongo... ¿hay alguna solución? ¿alguien sabe?

Minecar
29/11/2008, 07:41
Cita Publicado inicialmente por manolo
He personalizado la inversa, aunque nada en el servidor tendría por qué intentar esas conexiones.
¿A alguien le pasa lo mismo? ¿Alguna sugerencia?
Personalizar la inversa no te va a servir de nada si no eres tú quien realiza las conexiones.

Lee el mensaje : "En el caso en que esas conexiones fueran legitimamente efectuadas desde su servidor, le solicitamos que personalice la inversa del servidor"

Si no son legítimas, es que te han entrado.

manolo
29/11/2008, 00:58
Yo he recibido hoy este email:

––––
Estimado Cliente,
Hemos detectado un SCAN de puerto y/o de tentativas de intrusión
desde su servidor.
Le solicitamos que localice el origen de estas conexiones y corregir
en el menor plazo posible todo fallo de seguridad que haya identificado.

En el caso en que esas conexiones fueran legitimamente efectuadas desde
su servidor, le solicitamos que personalice la inversa del
servidor : http://guias.ovh.es/PersonalizarLaInversa

Si ninguna acción fuera llevada a cabo, estariamos en la obligación de desactivar su servidor.


--------------------------- LOGS DE SCAN ---------------------------

Watch for network scanning or Worm diversify. Many connections to different machines, to the same port from the same source IP. TCP.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2008-11-28 19:09:58 2008-11-28 19:09:58 91.xxx.xxx.xx:32767 81.247.128.242:29428
2008-11-28 19:10:07 2008-11-28 19:10:07 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:09:58 2008-11-28 19:09:58 91.xxx.xxx.xx:32767 81.247.141.67:29428
2008-11-28 19:10:10 2008-11-28 19:10:10 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:10:16 2008-11-28 19:10:16 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:10:28 2008-11-28 19:10:28 91.xxx.xxx.xx:32767 91.177.40.161:29428
2008-11-28 19:10:34 2008-11-28 19:10:34 91.xxx.xxx.xx:32767 91.177.41.93:29428
2008-11-28 19:10:37 2008-11-28 19:10:37 91.xxx.xxx.xx:32767 91.177.41.93:29428
2008-11-28 19:10:39 2008-11-28 19:10:39 91.xxx.xxx.xx:32767 87.66.46.175:29428
2008-11-28 19:10:40 2008-11-28 19:10:40 91.xxx.xxx.xx:32767 81.247.151.210:29428
2008-11-28 19:10:43 2008-11-28 19:10:49 91.xxx.xxx.xx:32767 81.247.151.210:29428


--------------------------- FIN DES LOGS ---------------------------

----


He personalizado la inversa, aunque nada en el servidor tendría por qué intentar esas conexiones.
¿A alguien le pasa lo mismo? ¿Alguna sugerencia?

Lostmon
28/11/2008, 22:35
Hola :

Yo hace tiempo tenia los logs interminables de intentos de conexion.

Por lo que veo ultimamente en Mis logs, los spammers se han cansado y ya no lo intentan o si lo intentan son tirados atras.

Que es lo que se observa normalmente en ellos ?

se pueden observar entradas como estas :

Thu Nov 27 23:53:40 2008] [error] [client 92.51.139.193] File does not exist: D:/App/www/phpmyadmin
[Thu Nov 27 23:53:40 2008] [error] [client 92.51.139.193] File does not exist: D:/App/www/phpadmin
[Thu Nov 27 23:53:40 2008] [error] [client 92.51.139.193] File does not exist: D:/App/www/mysql
[Thu Nov 27 23:53:40 2008] [error] [client 92.51.139.193] File does not exist: D:/App/www/pma
[Thu Nov 27 23:53:40 2008] [error] [client 92.51.139.193] File does not exist: D:/App/www/myadmin

en este caso andan escaneando en busca del phpmyadmin y buscan varias versiones , en busca de makinas con el instalado y posibles vulnerabilidades del mismo. ( cambiando la ruta por defecto del administrador de bases de datos, nos desaremos de casi todos los tipicos escaneadores de vulns)

otra entrada tipica es :

[Thu Nov 27 23:53:05 2008] [error] [client 193.164.132.41] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind

y que en si es consecuencia de la anterior entrada ya que es la firma
de una herramienta llamada PMAfind usada para buscar eso mismo los administradores de bases de datos.


otra tipica entrada puede ser las que mostrais vosotros y que en si , son intentos de intrusion hacia el servidor de correo saliente , en busca de SMTP server con el relay abierto y sin autentificacion para el envio de spam.
En mi caso como solo uso el SMTP para la funcion mail() del php obte por
añadir una regla en el firewall que solo permitiera el acceso desde el localhost, denegando todas las demas conexiones, asi , las web pueden enviar tranquilamente correo por php ( para los formularios de contacto y confirmaciones) y evito tener que darles un pasword o complicar las funciones
del programador php para el envio de mails.

Espero que os sirva de ayuda.

atentamente:
Lostmon (lostmon@gmail.com)

Security Researcher

hawork
12/11/2008, 12:44
Perdonad mi ignorancia pero ¿qué aporta en cuanto a seguridad el personalizar la ip inversa?

Edito para ampliar el post:

Acabo de pillar los procesos que me están fastidiando, estaban justo ejecutándose cuando he consultado (con ps -aux).

Aleluya!! por lo menos ya sé que es!!! es un intento de acceso remoto al servidor de mail (qmailr). No uso el servidor de mail para nada actualmente.

Para evitar que sigan mandando spam a través de mi servidor... ¿hay alguna manera de desactivar el qmailr o incluso el qmail entero?

Gracias por adelantado

miguelpinheiro
12/11/2008, 08:27
Hola tonysanchez.
Acabo de personalizar las ips inversas... Espero que pueda ser este el problema.

Tengo en mi servidor instalado Gentoo (OVH release 2) sin Cpanel.

Voy a ver que tengo que hacer para configurar pop before SMTP...

tonysanchez
12/11/2008, 08:20
Si tienes Cpanel no hace falta, porque tienes POP-before smtp, esto es:

Primero la Ip emisora o que quiere usar el servidor SMTP debe conectarse, autentificarse para descargar o leer su correo, y su IP ira a un fichero de IP autorizadas.

Si no esta en ese fichero, no podrá enviar correo.

Lo principla es configurar las IP inversas, porque el SCAN es una paranoia impresionante... si os fijais el puerto siempre es el mismo, un 113... que casualidad

miguelpinheiro
12/11/2008, 08:08
He mirado ya los procesos, crons, logs y, al parecer, no hay nada sospechoso.
Me da la sensación de que lo que me esta pasando es que alguién esta utilizando de forma indebida mi servidor SMTP para el envío de correos no deseados ya que NO exige autenticación.
Mi próximo paso es instalar SMTP-AUTH..

miguelpinheiro
11/11/2008, 14:11
Hola!

También soy uno de los usuarios que esta sufriendo este problema.
Tengo la última versión de Joomla y Roundcube instalados...
Aún no he analizado los logs y procesos. Ya os contaré...
En estos momentos estoy intentando personalizar la inversa y me esta dando dolores de cabeza..

Saludos.

Miguel

hawork
11/11/2008, 12:26
Buenas,

¿Habéis podido avanzar algo los que lo estáis sufriendo? Yo ya no sé qué hacer... He cerrado casi todos los puertos (incluido el 25 que es por donde según los logs están saliendo los mails de spam) y me sigue llegando de vez en cuando algún e-mail. No lo entiendo la verdad.

Comentáis que es difícil de averiguar si hay un código por ahí en algún php y yo lo que quería era atajar esto a lo bruto cerrando puertos pero veo que ni así ¿?¿?

Vamos, cerrados deben estar. Los deje en drop con iptables y si hago un iptables -L me los muestra en -j drop.

¿Hay alguna forma de atajar esto así a lo bruto? La verdad es que me conformo con algo teporal para ir mirándo más minuciosamente dónde está el problema.

Actualicé, como ya dije todos los softwares que tengo (básicamente wordpress y vBulletin) y actualicé la release. Además de hacer esta especie de firewall con iptables y cambiar el puerto SSH, pero ya no sé qué más hacer....

Gracias por adelantado,

tonysanchez
30/10/2008, 12:31
La cruda realidad es que esa informacion es nula de por si mismo. Por mas que escanes tus logs, el netstat, no encontraras nada. Tengo 10 maquinas, unas con CentoS y Cpanel, otras con Debian, y con configuraciones y usos distintos. En el caso de la Debian las tego mas que controladas, sobre todo apache.

Recibo este famosos email todos los dias en máquinas alterntivas, como tambien estuve recibiendo email de una que teneia instalado JBOSS que parecia que les molestaba a los de OVH.

Despues de de días de soledad, de estress, y de nula informacion por parte de OVh, puede decir que son falsos positivos, en tanto y cuanto no me den mas información, que es lo que deberian hacer, porque si os fijais en los los logs, NO son concurrentes, es decir en el mismo tiempo, ni son tantas como para considerarlos ATAQUES.

Si uno observa los logs de trafico, ve que no ha nada anormal.

Esto es simplemente una paranoia del sistema de OVH, que produce no pocos quebraderos de cabeza los administradores.

Despues de 10 años en esto, y 4 hackeos, mi paranoia es mas que elevada, y desde luego esta gente me a vuelto loco.

Por favor, definan un poco mas el tema de los "Ataque desde su servidor"

Un saludo.

rockeye
29/10/2008, 19:02
Es muy posible que hayan ocultado codigo con una shell en php o similar en vuestra web. Revisad los logs de apache con llamadas archivos .php y parametros raros. Seguro que veis algun archivo que tiene extrañamente muchas llamadas. Este tipo de ataques son dicifiles de detectar.

Poned apache en modo debug si es necesario.

Poned un "netstat -lnp" para ver que proceso escucha en cada puerto.
Si teneis algun backdoor instalado no useis "ps" porque podria estar falseado para ocultar ciertos servicios. Debeis reinstalar de nuevo el paquete "procps" o usar el "lsof -i" que funciona de forma independiente a "ps".

hawork
28/10/2008, 16:38
Exactamente el mismo problema estoy teniendo yo. No paran de llegar esos e-mails. Sí que detectamos un código oculto en un index de wordpress con links para farmacias online (viagra, etc.). Creíamos que estaba controlado pues ya no tenemos esos códigos pero nos siguen llegando e-mails....

PD: Estamos intentando contratar el pack seguridad total pero no funciona la página para contratarlo y al 902 no podemos llamar por incompatibilidad de horarios...

victor
28/10/2008, 00:54
fallo de seguridad de su sistema, este grupo de hackers ha podido instalar puertas traseras o "backdors".

El fallo de seguridad puede tener el origen siguiente:

- fallos en los scripts php, cgi, ... (phpNuke, phpBB, ...)
- cuentas de usuario con contraseñas triviales

Puede servirse de las guías siguientes para identificar el fallo:
http://guias.ovh.es/ServidorHackee/
http://guias.ovh.es/ServidorSemihackeado/

a mi tambien mas de lo mismo y no tengo ni idea

A continuación, puede encontrar varios datos concernientes a los procesos en ejecución y los puertos abiertos en su servidor en el momento en el que nuestros técnicos han intervenido:

------- COMINENZO DE LOS DATOS COMPLEMENTARIOS DEL ATAQUE -------

Watch for network scanning or Worm diversify. Many connections to different machines, to the same port from the same source IP. TCP.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2008-10-26 02:14:56 2008-10-26 02:14:56 91.121.132.131:32767 69.7.208.69:25
2008-10-26 02:15:22 2008-10-26 02:15:22 91.121.132.131:32767 64.12.138.153:25
2008-10-26 02:15:02 2008-10-26 02:15:02 91.121.132.131:32767 201.218.98.249:25
2008-10-26 02:14:58 2008-10-26 02:14:58 91.121.132.131:32767 10.42.23.11:25
2008-10-26 02:15:07 2008-10-26 02:15:07 91.121.132.131:32767 64.12.138.153:25
2008-10-26 02:15:14 2008-10-26 02:15:15 91.121.132.131:32767 194.197.177.18:25
2008-10-26 02:15:15 2008-10-26 02:15:15 91.121.132.131:32767 220.181.15.131:25
2008-10-26 02:15:30 2008-10-26 02:15:30 91.121.132.131:32767 64.12.138.153:25
2008-10-26 02:15:33 2008-10-26 02:15:33 91.121.132.131:32767 69.89.31.143:25
2008-10-26 02:15:33 2008-10-26 02:15:33 91.121.132.131:32767 205.188.252.17:25
2008-10-26 02:15:41 2008-10-26 02:15:41 91.121.132.131:32767 76.96.30.116:25


------- FIN DE LOS DATOS COMPLEMENTARIOS DEL ATAQUE -------

davidvaluex
23/10/2008, 11:15
Os dejo el ps faux que me sale:

************************************************** **

[root@ksXXXXXX /]# ps faux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
named 3138 0.0 0.5 55092 17848 ? Ssl Oct20 2:32 /usr/sbin/named -u named
dbus 3184 0.0 0.0 2736 900 ? Ss Oct20 0:00 dbus-daemon --system
mysql 3298 0.0 0.6 95076 19332 ? Sl Oct20 3:16 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=my
USUARIO 4561 0.0 0.0 3068 856 ? S Oct20 0:01 | \_ /usr/lib/courier-imap/bin/imapd /home/USUARIO/mail/USUARIO
USUARIO 4562 0.0 0.0 3064 864 ? S Oct20 0:00 | \_ /usr/lib/courier-imap/bin/imapd /home/USUARIO/mail/USUARIO
USUARIO 4563 0.0 0.0 3064 860 ? S Oct20 0:01 | \_ /usr/lib/courier-imap/bin/imapd /home/USUARIO/mail/USUARIO
USUARIO 4566 0.0 0.0 3064 888 ? S Oct20 0:01 | \_ /usr/lib/courier-imap/bin/imapd /home/USUARIO/mail/USUARIO
USUARIO 22559 0.0 0.0 3064 852 ? S Oct22 0:00 \_ /usr/lib/courier-imap/bin/imapd /home/USUARIO/mail/USUARIO
mailnull 3428 0.0 0.0 10132 1096 ? Ss Oct20 0:11 /usr/sbin/exim -bd -q60m
mailnull 24699 0.0 0.0 10176 2044 ? S 12:00 0:00 \_ /usr/sbin/exim -bd -q60m
mailnull 25013 0.0 0.1 11248 4020 ? S 12:02 0:00 \_ /usr/sbin/exim -bd -q60m
mailnull 3432 0.0 0.0 10132 1024 ? Ss Oct20 0:00 /usr/sbin/exim -tls-on-connect -bd -oX 465
nobody 3895 0.0 0.4 30328 14824 ? S 09:48 0:01 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 10572 0.0 0.4 30324 14804 ? S 10:25 0:01 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 16109 0.0 0.4 30068 14576 ? S 11:04 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 16545 0.0 0.4 30080 14828 ? S 11:06 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 17200 0.0 0.4 29764 14156 ? S 11:10 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 20956 0.0 0.4 29516 13884 ? S 11:37 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 20983 0.0 0.4 30340 14792 ? S 11:37 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 24370 0.0 0.3 27600 11556 ? S 11:58 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 24375 0.0 0.3 27600 11620 ? S 11:58 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
nobody 24547 0.0 0.4 30060 14412 ? S 11:59 0:00 \_ /usr/local/apache/bin/httpd -k start -DSSL
USUARIO 21898 0.0 0.0 7704 1076 ? S 11:42 0:00 \_ pure-ftpd (DOWNLOAD)
avahi 4090 0.0 0.0 2560 1376 ? Ss Oct20 0:00 avahi-daemon: running [ksXXXXXX.local]
avahi 4091 0.0 0.0 2560 412 ? Ss Oct20 0:00 \_ avahi-daemon: chroot helper
68 4110 0.0 0.1 7468 5684 ? Ss Oct20 0:04 hald
USUARIO 4551 0.0 0.0 2544 1064 ? S Oct20 0:03 /usr/libexec/gam_server
USUARIO 4553 0.0 0.0 2544 1072 ? S Oct20 0:03 /usr/libexec/gam_server
USUARIO 4555 0.0 0.0 2544 1072 ? S Oct20 0:03 /usr/libexec/gam_server
mailman 2840 0.0 0.1 12736 4452 ? Ss Oct22 0:00 /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/mailmanct
mailman 2852 0.0 0.1 12428 5952 ? S Oct22 0:06 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2853 0.0 0.1 12456 5976 ? S Oct22 0:05 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2854 0.0 0.1 12456 5960 ? S Oct22 0:05 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2855 0.0 0.1 12404 5960 ? S Oct22 0:05 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2856 0.0 0.1 12416 5996 ? S Oct22 0:05 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2857 0.0 0.1 12564 6028 ? S Oct22 0:05 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2858 0.0 0.1 12428 5956 ? S Oct22 0:05 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn
mailman 2859 0.0 0.1 12428 5952 ? S Oct22 0:00 \_ /usr/bin/python2.4 /usr/local/cpanel/3rdparty/mailman/bin/qrunn

************************************************** **

He quitado los procesos de root porque era demasiado largo y no dejaba publicarlo.

Espero que me aviseis si veis algo raro.
Salu2. David.

Shephard
22/10/2008, 19:36
Ahora mismo solo hay dos procesos ejecutándose de www-data:

1735 www-data 20 0 103m 9872 4972 S 4 0.1 0:00.28 apache2
2115 www-data 20 0 102m 8808 3984 S 4 0.1 0:00.02 apache2

Un saludo y gracias!

jriera
22/10/2008, 14:14
Habría que ver que procesos son y tal... pueden ser hijos de Apache y eso es normal.

Haz un copy&paste del ps y acabamos antes. xD

virtual
22/10/2008, 02:22
Puede no, seguro que es.

Cuantos procesos tienes lanzados ?

Shephard
21/10/2008, 20:45
Yo sí tengo de www-data bastantes procesos. ¿Puede ser eso?

davidvaluex
21/10/2008, 12:15
Hola jriera,
el lanzado el ps faux, me salen procesos con nobody pero nada raro y con www-data no me sale nada.

jriera
19/10/2008, 22:53
Con un "ps faux" ves todos los procesos de todos los usuarios. Mira si hay algo sospechoso, algun script en perl ejecutado desde "www-data" o "nobody".

Shephard
19/10/2008, 19:33
Todavía no he encontrado una solución... y esta semana estaré muy ocupado, así que tendré que postponerlo para la semana siguiente .

davidvaluex
19/10/2008, 10:23
A mi tambien me estan llegando estos emails:

**************************

Buenos días,

Hemos tenido que intervenir urgentemente en su servidor dedicado xxxx.xxx.com
con el fin de bloquear un ataque. Este ataque ha sido lanzado muy posiblemente
por un grupo de hackers. Aprovechando un fallo de seguridad de su sistema,
este grupo de hackers ha podido instalar puertas traseras o "backdors".

El fallo de seguridad puede tener el origen siguiente:

- fallos en los scripts php, cgi, ... (phpNuke, phpBB, ...)
- cuentas de usuario con contraseñas triviales

Puede servirse de las guías siguientes para identificar el fallo:
http://guias.ovh.es/ServidorHackee/
http://guias.ovh.es/ServidorSemihackeado/


A continuación, puede encontrar varios datos concernientes a los procesos en
ejecución y los puertos abiertos en su servidor en el momento en el que
nuestros técnicos han intervenido:

------- COMINENZO DE LOS DATOS COMPLEMENTARIOS DEL ATAQUE -------

Watch for network scanning or Worm diversify. Many connections to different machines, to the same port from the same source IP. TCP.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2008-10-19 08:31:42 2008-10-19 08:31:42 XXXXXXXXXXXX:32767 189.145.53.159:113
2008-10-19 08:31:34 2008-10-19 08:31:34 XXXXXXXXXXXX:32767 71.174.128.56:113
2008-10-19 08:32:15 2008-10-19 08:32:15 XXXXXXXXXXXX:32767 116.227.204.19:113
2008-10-19 08:32:37 2008-10-19 08:32:37 XXXXXXXXXXXX:32767 190.55.147.244:113
2008-10-19 08:32:45 2008-10-19 08:32:45 XXXXXXXXXXXX:32767 91.144.149.98:113
2008-10-19 08:33:03 2008-10-19 08:33:03 XXXXXXXXXXXX:32767 211.173.185.106:113
2008-10-19 08:33:19 2008-10-19 08:33:19 XXXXXXXXXXXX:32767 201.122.70.2:113
2008-10-19 08:33:04 2008-10-19 08:33:04 XXXXXXXXXXXX:32767 162.84.145.79:113
2008-10-19 08:33:20 2008-10-19 08:33:20 XXXXXXXXXXXX:32767 71.182.177.6:113
2008-10-19 08:34:48 2008-10-19 08:34:48 XXXXXXXXXXXX:32767 89.42.90.211:113
2008-10-19 08:34:48 2008-10-19 08:34:48 XXXXXXXXXXXX:32767 92.82.19.20:113


------- FIN DE LOS DATOS COMPLEMENTARIOS DEL ATAQUE -------
**************************

Yo también he mirado con chkrootkit, ps, top y tampoco he visto nada raro.

Si te parece bien Shephard, creo que deberiamos compartir información y esfuerzos, ya que tenemos el mismo problema.

Saludos. David.

Shephard
18/10/2008, 16:05
Por lo pronto he desactivado el Postfix...así que buscaré alguna forma de evitar ese spam malvado .

Muchas gracias!

PD: El ps muestra dos procesos y el top bastantes más, pero todos ellos normales.

jriera
18/10/2008, 15:57
Haz un ps, mira los procesos que hay ejecutados, revisa logs de apache para ver por donde se han colado... comprueba que no haya ningún proceso sospechoso ejecutado. Parece que son conexiones SMTP, por lo tanto están usando tu servidor para emitir SPAM.

chkrootkit no es la solución a todo ni mucho menos.

Suerte!

Shephard
18/10/2008, 11:03
Hola,

He recibido hoy unos 20 e-mails como este:

Buenos días,

Hemos tenido que intervenir urgentemente en su servidor dedicado xxxx.ovh.com
con el fin de bloquear un ataque. Este ataque ha sido lanzado muy posiblemente
por un grupo de hackers. Aprovechando un fallo de seguridad de su sistema,
este grupo de hackers ha podido instalar puertas traseras o "backdors".

El fallo de seguridad puede tener el origen siguiente:

- fallos en los scripts php, cgi, ... (phpNuke, phpBB, ...)
- cuentas de usuario con contraseñas triviales

Puede servirse de las guías siguientes para identificar el fallo:
http://guias.ovh.es/ServidorHackee/
http://guias.ovh.es/ServidorSemihackeado/


A continuación, puede encontrar varios datos concernientes a los procesos en
ejecución y los puertos abiertos en su servidor en el momento en el que
nuestros técnicos han intervenido:

------- COMINENZO DE LOS DATOS COMPLEMENTARIOS DEL ATAQUE -------

Watch for network scanning or Worm diversify. Many connections to different machines, to the same port from the same source IP. TCP.

startime endtime scrort dstort
----------------------------------------------------------------------------------------------
2008-10-18 11:18:02 2008-10-18 11:18:02 ip.va.aqui:32767 71.6.218.117:25
2008-10-18 11:18:02 2008-10-18 11:18:02 ip.va.aqui:32767 216.75.55.110:25
2008-10-18 11:18:14 2008-10-18 11:18:14 ip.va.aqui:32767 216.75.55.110:25
2008-10-18 11:18:23 2008-10-18 11:18:23 ip.va.aqui:32767 71.6.218.116:25
2008-10-18 11:18:26 2008-10-18 11:18:26 ip.va.aqui:32767 71.6.218.116:25
2008-10-18 11:19:11 2008-10-18 11:19:11 ip.va.aqui:32767 69.64.159.1:25
2008-10-18 11:19:11 2008-10-18 11:19:11 ip.va.aqui:32767 69.46.228.169:25
2008-10-18 11:19:11 2008-10-18 11:19:11 ip.va.aqui:32767 206.125.101.12:25
2008-10-18 11:19:11 2008-10-18 11:19:11 ip.va.aqui:32767 204.15.20.125:25
2008-10-18 11:19:11 2008-10-18 11:19:11 ip.va.aqui:32767 209.219.94.116:25
2008-10-18 11:19:11 2008-10-18 11:19:11 ip.va.aqui:32767 208.73.210.32:25

He estado mirando, pero el chkrootkit no detecta nada, así que no sé cómo proceder para cerrar los ataques desde mi máquina. ¿A alguien le ha pasado lo mismo? ¿Alguna recomendación?

Gracias!