OVH Community, your new community space.

Que hacer ante hackeo?


TP_spider
19/01/2009, 19:07
En Plesk tienes una opción que se llama "Administrador de Logs" ahí encontraras todo lo que se cuece en tu Web, pero te aviso que si tienes muchas visitas eso va a ser un trabajo de chinos.

pepemartin
19/01/2009, 19:00
Yo es que estoy seguro de que quien me ataco fue una pagina de la competencia, con ip española y la cual ha atacado a otras webs de la competencia españolas anteriormente.
Como puedo acceder a los logs de apache?

Gracias por toda la ayuda

donpaco
19/01/2009, 18:43
La ip buscala en los logs del apache, aunque para saber exactamente lo que hizo.

Lo de denunciarla habitualmente no sirve de mucho, unas veces atacan desde otros servidores en lo que se han colado antes, otras veces descubres ips de paises como brasil, estonia o nigeria.

los brasileños son muy dados a juguetear en el irc
las ips nigerianas son comunes en casos de spam del famoso timo nigeriano de las tasas.

En esos casos acudir a comisaria a denunciar solo sirve para perder el tiempo tu y los funcionarios del cuerpo de policia.
Si encuentras una ip de tu pais otro gallo canta, esos casos son mas escasos pero son muy divertidos cuando al tipico 'chaval' le localiza la policia y le llaman a declarar, guarda todos los logs, que no te falte ninguno si quieres llevarlo a juicio...

TP_spider
19/01/2009, 18:31
Uff, la IP que te atacó puede ser de Ukrania, Rumania o Tahilandia, etc... No creo que tengas mucho que hacer en ese aspecto.

Me refería a la versión del foro y del portal, pero si dices que son las ultimas, ummmm, eso me mosquea un poco, entonces no se por donde te han accedido a la base de datos.

Mira a ver como están los permisos del archivo config que contiene la configuracion de acceso a la base de datos, no vaya a ser que lo tengas accesible y te hayan visto el Passwor, databasename y username.

pepemartin
19/01/2009, 17:40
No es que tenga nada que ver, lo que busco es desesperadamente la manera de saber que ip ataco y borro esas tablas de la base de datos para poder denunciar. Pero como ya dije antes no tengo nada que hacer...
En cuanto a la version de la aplicacion te refieres a mysql? No se cual es la version mas nueva.
Del portal y el foro si uso las ultimas versiones

TP_spider
19/01/2009, 16:41
La verdad es que no entiendo muy bien que tiene que ver Plesk en el Hackeo de una aplicación Web...
Tendrás que mirar que versión de la aplicación estas utilizando, comparala con la version actual existente y si hay diferencias entre una y otra, actualiza.
Todo esto contando con que la vulnerabilidad esté en la aplicación claro...

pepemartin
19/01/2009, 16:22
Yo creo que han entrado como dice TP_spider, ya que ha sido solo borrar algunas tablas de la base de datos y en plesk no han entrado, ni han modificado nada de el servidor.
Como actualizaste o solucionaste el problema?

Donpaco hablas de cosas bastante dificiles para un novato como yo, gracias, pero no me entero...

Pues bien estamos. OBH no da soporte a mi problema, ni siquiera en los servicios tecnico pagando que ofreccen tienen nada que me ayude (Dicho por ellos). Me dicen que eso es tarea de plesk. Plesk no me da soporte porque tengo una licencia que me dieron y yo creia que era valida como todas las demas, pero por lo visto al ser gratis no tiene soporte (vaya publicidad engañosa)
Asi que me tendre que joder con el hackeo, y seguiran hackeandome cada vez que quieran y yo sin poder hacer nada

donpaco
19/01/2009, 05:50
Puede que hayas actualizado el script pero que hubieran entrado antes de la actualizacion

Lo habitual es que metan un script como el r57shell a partir de ahi ya no se cuelan por tu script, se cuelan por "su" script, tambien es posible que te hayan instalado un bindshell, buscate procesos extraños, un netstat -an te mostrara los puertos abiertos, la idea es encontrar un programa que pueda estar siendo ejecutado con el usuario del servidor web y este escuchando en un puerto, normalmente suelen cambiarle el nombre al proceso para camuflarlo y que parezca el servidor web. Un reinicio se cepilla el proceso.
Si te han entrado pero han conseguido hacerse con el root (tenias el kernel actualizado?) no reinicies hasta que no limpies a fondo, en ese caso no puedes fiarte de ningun binario, haz un backup de los datos, reinstala el sistema y vuelta a empezar, o te puedes aventurar a limpiar el sistema, instalate el chkrootkit y averigua que rootkit usaron, busca informacion sobre el rootkit usado y reinstala aquellos paquetes del sistema que sepas que hayan sido modificados, en esos casos comandos como ps, netstat, lsof y otros son manipulados para mostrar informacion falsa, esos casos son mas laboriosos y dificiles de explicar en unas lineas.

De todos modos empece hablando de que te hayan metido un r57shell, el mas habitual, busca ficheros .php que no deban estar ahi, lo habran metido con algun nombre disimulado, como db-lib.php, configuration.php, o cualquier nombre que te haga pensar que el fichero sea del vbulletin.
Una buena pista suele ser el propietario del fichero, si ejecutas apache como modulo php los ficheros creados seran del usuario nobody, www-apache o como se llame ese usuario en tu sistema, el comando

find -type f -name "*.php" -user nobody

te dara una lista de ficheros .php del usuario nobody

Espero que te sirva de ayuda

TP_spider
18/01/2009, 16:33
Pero no tienen porque haberte Hackeado el Server, pueden haberte inyectado un script a traves de un Bug en la aplicación que maneja la base de datos.
Mira si la tienes bien actualizada, a mi me entraban por ahí, y utilizaban las rutinas php de la misma aplicación para enviar Spam desde mi servidor de correo.

En ese caso NO te habrían Hackeado el servidor...
Saludos y suerte.

Jaridiano
16/01/2009, 20:48
Puedes cambiar el prefijo de la base de datos, porque casi todos los cms al instalarlos dejan de prefijo el mismo nombre.

pepemartin
16/01/2009, 15:25
tengo las ultimas versiones de vbulletin y del portal vbadvanced :S

Como puedo acceder a esos logs, si no han pisado plesk?

En el servicio tecnico me dijeron algo de poner secure mode, pero claro, gracias al magnifico don de palabra que tiene el que coge el telefono que lo coge y se queda callado, pues no entendi mucho

donpaco
16/01/2009, 13:53
Deberias enfocar todos tus esfuerzos a solucionar el bug del script que permitio que eso pasara, si te han tocado la base de datos probablemente sea una inyeccion SQL

Si es un script programado por ti te esperan largas horas de depuracion.
Si es un script programado por terceros comprueba si hay alguna actualizacion disponible y realizala inmediatamente.

Respecto a encontrar la ip del atacante te recomiendo que te guardes una copia de los logs de apache del dominio antes de que sean rotados o eliminados por el sistema. Encontrar la ip del atacante supone buscar en esos logs accesos sospechosos, la definicion de "sospechoso" tendra que ver con el tipo de bug que encuentres en los scripts

pepemartin
16/01/2009, 12:06
Buenas, es la segunda vez que me hackean la web a traves de la base de datos. La primera vez si dejo su ip en plesk, pero esta ultima vez no, ha sido todo por mysql y ha borrado la base de datos, supongo que con un script. ¿Que forma puede haber de que encuentre su ip si ataco de ese modo? y como me puedo proteger para q no vuelva a ocurrir?