Curioso troyano en mi servidor
Hola a todos.
No soy cliente de OVH pero he encontrado esta línea buscando en Google por l_backuptoster.php, y ya que estáis aquí con el tema, pues aporto mi experiencia.
Hace cosa de hora y media he detectado un montón de intentos de ejecutar ese script en mi servidor, como cincuenta en un minuto, felizmente todos abortados por CSF. He entrado en la cuenta afectada y ahí estaba ese archivo, en el directorio public_html, y además una copia en el directorio raíz. Junto con él he encontrado un archivo de texto, también repetido en los dos directorios, llamado body.txt, en donde hay un enlace y tres nombres de medicamentos de esos online. Por lo tanto está claro que con ese script intentaban abusar el servidor para enviar spam.
El sitio afectado es de un colega que solo tenía instalado un Joomla de pruebas, de una versión un poco antigua ya, un año o dos. Mi servidor tiene Apache 2.2.14, PHP 5.2.13 y el suPHP activado, que aunque no ha podido evitar la intrusión, por lo menos parece que ha evitado la contaminación de otros sitios, porque el resto del servidor está limpio. Por si acaso he liquidado el Joomla entero, que no estaba en uso, y he cambiado la contraseña del cPanel y FTP.
O sea que mucho ojo con los CMS un poco antiguos, porque está claro que en mi caso se han colado a través del Joomla. Y haced un find preventivo a nivel de servidor sobre l_backuptoster.php y body.txt...
Saludos a la comunidad,
Jordi Casanovas
Publicado inicialmente por
Power
Hola,
Efectivamente, me ha informado un cliente que le han empezado a aparecer errores en Joomla a partir de la actualización de PHP.
Vuelvo a recompilar con PHP versión 5.2.13
Muchas gracias por la información.
Saludos
Edito: Confirmado, con PHP 5.2.13 Joomla va bien.
Ok gracias Power
Hola,
Efectivamente, me ha informado un cliente que le han empezado a aparecer errores en Joomla a partir de la actualización de PHP.
Vuelvo a recompilar con PHP versión 5.2.13
Muchas gracias por la información.
Saludos
Edito: Confirmado, con PHP 5.2.13 Joomla va bien.
Salteador
19/03/2010, 14:31
Si da problemas, con el sitemap de google daba errores por ejemplo, y con algun script de wordpress tambien, yo en algun servidor no he podido pasar a la version 5.3.x por estos problemas, ademas del tema del zend optimizer que aun no esta disponible para esas versiones de php.
Habia leido que daba problemas con algun cms y algunos scripts, pero no recuerdo exactamente, si lo recuerdo te lo digo
Hola,
Publicado inicialmente por
sdzzds
Power cuando pase un tiempo y todo vaya bien cuentanos si va bien la version 5.3 de PHP, habia leido que tenia problemas y tengo la 5.2.13.....
¿Sabes qué tipo de problemas?
Para estar prevenido.
Saludos
Power cuando pase un tiempo y todo vaya bien cuentanos si va bien la version 5.3 de PHP, habia leido que tenia problemas y tengo la 5.2.13.....
Hola,
Publicado inicialmente por
Salteador
Un poco viejo el php, has probado con el 5.3.2?
Ya estoy recompilando Apache (con el EasyApache de cPanel) con Apache 2.2 y la versión 5.3.2 de PHP
Gracias. A ver si hay suerte y no me vuelven a entrar.
Saludos
Edito: Ya está recompilado y en funcionamiento (¡¡¡ que gran maravilla es EasyApache !!!)
Salteador
19/03/2010, 09:47
Un poco viejo el php, has probado con el 5.3.2?
Hola,
Publicado inicialmente por
pedrito
¿Algún bug en PHP/Apache? ¿Qué versiones usas?
Apache 2.0.63
PHP 5.2.10
Saludos
¿Algún bug en PHP/Apache? ¿Qué versiones usas?
kennysamuerto
18/03/2010, 10:53
Pues entonces me desmonta todo.
Lo unico que sacamos en conclusion es que son dos servidores de la red de OVH.
¿Tendran algo que ver los escaneos? Porque lo de fuerza bruta lo descarto.
Tema complicado porque para mi, la mas probable razon era por algun CMS desactualizado. Pero si ocurre con html puro y duro...
Extrañisimo...
si, es extraño...sí, vamos a ver cómo sigue la cosa y si lo intentan de nuevo
Publicado inicialmente por
sdzzds
A mí me ha pasado en un sitio con archivos html y jpg simples, ningun cms
¡¡¡ Jo !!! Pues ya no sé ni qué pensar.
O tienen poderes de Harry Potter o viven dentro del servidor.
Saludos
A mí me ha pasado en un sitio con archivos html y jpg simples, ningun cms
Hola,
Publicado inicialmente por
kennysamuerto
Pienso que ahi esta el problema. Todo parece indicar que algun bug en algun script de algun cliente (se que es un poco..., tanto algun) ha provocado el problema.
Seria interesante saber si las 5 cuentas de estos clientes, tienen algun CMS "famoso" y en que version del mismo esta, para ir descartando posibles problemas.
De esas 5 cuentas, sólo 2 utilizan CMS clásicos.
Aunque supongo que puede hacer sido de un CMS de cualquiera de las otras 60 cuentas del servidor.
Gracias Kennysamuerto
Saludos
kennysamuerto
18/03/2010, 09:48
Publicado inicialmente por
Power
Hola,
En primer lugar, gracias a todos por vuestra ayuda.
No puede haber sido un virus o troyano de Windows en mi PC porque no uso nunca Windows en mi PC, sólo Linux OpenSuse.
Por otro lado, nunca me conecto por FTP a las cuentas de mis clientes, todo lo hago por SFTP a la cuenta root de mi servidor sin usar contraseñas, mediante claves RSA.
(De hecho no conozco, prácticamente, ninguna contraseña de mis clientes)
Y tampoco pueden haber sido virus o troyanos de los PCs de mis clientes, porque de las 5 cuentas afectadas, 2 de ellas las manejo yo exclusivamente y otra no la manejo desde hace años, y mi cliente no conoce la password de acceso.
Ha tenido que ser desde algo común a todo el servidor.
Pienso que tal vez algún agujero de seguridad de algún CMS de algún cliente y que desde ahí hayan tenido acceso a todas las cuentas.
Si se os ocurre algo más, estoy receptivo a cualquier ayuda.
Gracias.
Saludos
Pienso que ahi esta el problema. Todo parece indicar que algun bug en algun script de algun cliente (se que es un poco..., tanto algun) ha provocado el problema.
Seria interesante saber si las 5 cuentas de estos clientes, tienen algun CMS "famoso" y en que version del mismo esta, para ir descartando posibles problemas.
luis_sanz
17/03/2010, 20:02
Publicado inicialmente por
Power
Hola,
Y no te creas que soy un semi-dios de estos temas de administración de servidores.
Soy un simple pardillo que a base de mucho esfuerzo (y de vuestra ayuda) voy consiguiendo manejar mis servidores con cierta soltura. Nada más.
jajaja.. ya se que no eres un dios, pero si se que inviertes muuuuuucho tiempo en tus servidores y entre eso y ser un dios, casi no hay diferencia..
con respecto al find es muy sencillito
find . -name "l_backuptoster.php" -exec rm {} \;
eso te borraria el archivo, si o si este donde este y lo escriban en mayusculas o minusculas o mezclado.. existen opciones muy interesantes con find, miratelas todas, quiza encuentres una opcion mucho mejor q eso..
Hola,
Publicado inicialmente por
luis_sanz
hola power
prueba si puedes!! a activar suPHP o FastCGI, quiza compliques mas al invasor hacerte todo esto, en caso de que sea como dices desde un agujero CMS
por otro lado, mientras encuentras por donde entran este indeseable, pasale un script a tu server cada hora en busca de un script llamado *toster* para que los elimine automaticamente, ya se que no es solucion, pero almenos podras echarte una cabezadita sin tener pesadillas.
espero ver pronto mas informacion al respecto, si te pasa esto a ti, no quiero saber que nos puede pasar al resto de mortales
No puedo activar suPHP porque tengo varias cuentas que utilizan directivas para PHP en sus .htaccess
(Tengo pensado ir poniendo firmes a los clientes para pasar a suPHP en breve, cuando cambie de servidor)
Estoy estudiando la opción que comentas de poner un cronjob con un find para que localice esos ficheros.
También estoy pensando hacer otro que me avise todos los días los nuevos scripts de PHP que se hayan instalado.
(A ver si me estudio un poco la sintaxis del comando find que la tengo un poco olvidada)
Y no te creas que soy un semi-dios de estos temas de administración de servidores.
Soy un simple pardillo que a base de mucho esfuerzo (y de vuestra ayuda) voy consiguiendo manejar mis servidores con cierta soltura. Nada más.
Se siguen admitiendo propuestas y opiniones sobre el tema de este hilo.
Si consigo saber cómo lo hicieron, puede ser muy útil para otros muchos administradores.
Saludos
luis_sanz
17/03/2010, 19:01
hola power
prueba si puedes!! a activar suPHP o FastCGI, quiza compliques mas al invasor hacerte todo esto, en caso de que sea como dices desde un agujero CMS
por otro lado, mientras encuentras por donde entran este indeseable, pasale un script a tu server cada hora en busca de un script llamado *toster* para que los elimine automaticamente, ya se que no es solucion, pero almenos podras echarte una cabezadita sin tener pesadillas.
espero ver pronto mas informacion al respecto, si te pasa esto a ti, no quiero saber que nos puede pasar al resto de mortales
Hola,
En primer lugar, gracias a todos por vuestra ayuda.
No puede haber sido un virus o troyano de Windows en mi PC porque no uso nunca Windows en mi PC, sólo Linux OpenSuse.
Por otro lado, nunca me conecto por FTP a las cuentas de mis clientes, todo lo hago por SFTP a la cuenta root de mi servidor sin usar contraseñas, mediante claves RSA.
(De hecho no conozco, prácticamente, ninguna contraseña de mis clientes)
Y tampoco pueden haber sido virus o troyanos de los PCs de mis clientes, porque de las 5 cuentas afectadas, 2 de ellas las manejo yo exclusivamente y otra no la manejo desde hace años, y mi cliente no conoce la password de acceso.
Ha tenido que ser desde algo común a todo el servidor.
Pienso que tal vez algún agujero de seguridad de algún CMS de algún cliente y que desde ahí hayan tenido acceso a todas las cuentas.
Si se os ocurre algo más, estoy receptivo a cualquier ayuda.
Gracias.
Saludos
No, yo por lo menos no tengo acceso a ese ftp en mi ordenador, no sé si el cliente lo tiene, pero a Power le has pasado en 5 cuentas, es raro
kitamarchas
17/03/2010, 18:22
Si, tiene toda la pinta que sea algún bicho que tienes en tu ordenador, virtus, troyano, keyloger... quien sabe.
Yo pasaría el AVG y el SpyBot a ver que dicen...
fametown
17/03/2010, 18:07
A mi en su día me pasó algo parecido y la explicación fue muy sencilla.
Un virus en mi Windows XP (ahora con MAC duermo más tranquilo) utilizó las cuentas FTP de mi Dreamweaver o CuteFTP (no sé de cual) para conectarse a ellas y subir un troyano.
Así de simple...
Fíjate si no tienes virus en tu máquina o en la máquina de tus clientes. Andan pululando infinidad de virus que sacan claves FTP de las máquinas, las envían al pirata de turno que cómodamente te sube lo que le de la gana.
Hola Power,
Si yo he visto dos ips, una de USA y otra de Letonia, es raro si.....lo haran con proxies pero no se como lo han hecho porque esta cuenta tiene 5 archivos html basicos y el pass ya lo hemos cambiado.
Hola,
Por si acaso, he cambiado las passwords de cPanel (que es la misma que la del FTP principal) de las 5 cuentas afectadas.
Saludos
Hola,
Me acabo de dar cuenta de que anoche, sobre las 23h me volvieron a subir el dichoso fichero a 3 cuentas.
Esta vez desde la IP 84.33.192.89, también de Italia.
No acabo de entender cómo lo hacen.
¿Alguien podría darme alguna otra pista para buscar?
Gracias
Saludos
Hola,
Publicado inicialmente por
sdzzds
Revisa la carpeta public_ftp que no tenga permisos 00
Los permisos de las carpetas /home/cuenta/public_ftp/incoming están a 755 con usuario: cuenta y grupo: cuenta
Apache se ejecuta con usuario: nobody y grupo: nobody
Y, aparte, no tengo permitido el FTP anónimo en ninguna cuenta.
No consigo entender cómo lo hicieron y a tantas cuentas a la vez.
Saludos
Revisa la carpeta public_ftp que no tenga permisos 00
Hola,
Publicado inicialmente por
sdzzds
Hola Power,
A mí me ha pasado con un cliente tb, he revisado permisos y todo está bien han subido este archivo al /home y al public_html otros para hacer spam. En mi caso es una IP de Letonia, por lo menos la que ha entrado a ejecutar los archivos php, la he bloqueado en el csf a ver y he borrado los archivos.
Saludos.
En mi caso, no llegaron a entrar a ejecutar el php subido.
Y por supuesto, en cuanto ví el tema, bloqueé la IP que los había subido, que, en este caso, era de Italia.
Saludos
Hola,
Publicado inicialmente por
pedrito
¿El cliente en cuestión tenía puesta alguna contraseña fácil? Tal vez han entrado por ahí, a mi me ha pasado en un par de ocasiones que algún cliente tenía puesto de contraseña "1234"
El tema es que, en el mismo día, han hecho conexión FTP a 5 cuentas diferentes del servidor con cPanel y han dejado en cada una de las 5 el troyano.
Una podía haber tenido una contraseña fácil, pero cinco no.
Y no ha habido intentos repetidos de acceso erróneos porque el CSF lo habría detectado.
Saludos
Hola Power,
A mí me ha pasado con un cliente tb, he revisado permisos y todo está bien han subido este archivo al /home y al public_html otros para hacer spam. En mi caso es una IP de Letonia, por lo menos la que ha entrado a ejecutar los archivos php, la he bloqueado en el csf a ver y he borrado los archivos.
Saludos.
¿El cliente en cuestión tenía puesta alguna contraseña fácil? Tal vez han entrado por ahí, a mi me ha pasado en un par de ocasiones que algún cliente tenía puesto de contraseña "1234"
El log de una de las conexiones por FTP de la subida del fichero:
Código:
Mar 16 15:02:03 ns3 pure-ftpd: (?@95.110.195.183) [INFO] New connection from 95.110.195.183
Mar 16 15:02:03 ns3 pure-ftpd: (?@95.110.195.183) [INFO] cuenta is now logged in
Mar 16 15:02:04 ns3 pure-ftpd: (cuenta@95.110.195.183) [ERROR] Can't open that file: No such file or directory
Mar 16 15:02:04 ns3 pure-ftpd: (cuenta@95.110.195.183) [NOTICE] /home/cuenta//public_html/l_backuptoster.php uploaded (627 bytes, 22.44KB/sec)
Mar 16 15:02:05 ns3 pure-ftpd: (cuenta@95.110.195.183) [ERROR] Can't open that file: No such file or directory
Mar 16 15:02:08 ns3 pure-ftpd: (cuenta@95.110.195.183) [NOTICE] /home/cuenta//www/l_backuptoster.php uploaded (627 bytes, 14.61KB/sec)
Mar 16 15:02:08 ns3 pure-ftpd: (cuenta@95.110.195.183) [NOTICE] /home/cuenta//l_backuptoster.php uploaded (627 bytes, 1.91KB/sec)
Mar 16 15:02:09 ns3 pure-ftpd: (cuenta@95.110.195.183) [INFO] Logout.
Saludos
Hola,
He descubierto varios ficheros denominados
l_backuptoster.php en directorios
/home/cuenta_cliente y
/home/cuenta_cliente/public_html de varios de mis clientes.
Al parecer habían sido subidos hoy por FTP desde la IP: 95.110.195.183
Código:
Mar 16 15:02:23 ns3 pure-ftpd: (cuenta_cliente@95.110.195.183) [NOTICE] /home/cuenta_cliente//public_html/l_backuptoster.php uploaded (627 bytes, 21.92KB/sec)
No acabo de entender como han accedido por FTP a cuentas de clientes diferentes ... pero lo han hecho.
Y lo más curioso es el script que contiene l_backuptoster.php
Me parece bastante chapucero para ser un script de un cracker experto.
Y tampoco entiendo qué es lo que intenta hacer.
¿A alguien más le han dejado ese script?
¿Hay forma de saber cómo han obtenido el acceso FTP?
(Me imagino que algún bug de algún CMS de alguno de mis clientes)
Cualquier información se agradece.
Saludos
