Tema:
Aparentemente un "cracker" ingreso a mi servidor, esta instalado Red Hat9 y coloco una pagina que me hace parecer que estoy haciendo pishing.
Posibles causas
- Me cambie de proveedor pero no configure el firewall para la direccion ip que me asignaron continuaba con la anterior.
- El sendmail igual estaba configurado con la ip de mi antiguo proveedor de internet
Lo raro, aun asi sin cambiar nada todo funcionaba el correo especialmente cosa q la sigo viendo hasta el momento muy raro de q haya seguido funcionando.
Me llego un correo en el q me piden q de baja a mi dominio ya q esta haciendo pishing a un banco estado unidense, pero ya borre la pagina q habia alojada en mi server. Y tambien configure con la direccion ip de mi nuevo proveedor el firewall, accesos para telnet, sendmail y demas.
Lo que no puedo ver todavia es como lo hicieron se ingresaron al servidor o enviaron un scrip que se yo.
Alguien q tenga una idea y pueda guiarme muchas gracias
Comentarios
Busca si tienes rootkits
Busca si tienes rootkits instalados, aunque la verdad, al ser una versión ultra vieja de RED HAT, lo más probable es que hayan ingresado crackeando un servicio vulnerable.
Te agradecería que corrijas tu post y cambies hacker por cracker, ya que un hacker no se dedica a hacer ese tipo de cosas ...
http://es.wikipedia.org/wiki/Hacker
bye
:)
Cracker
Gracias mi estimado, si alguien tiene otra idea de quien puede estar tratando de hacer pishing y como detectarlo favor mencionarlo. Al parecer en el Ecuador estas cosas no se estaban dando pero por el momento parece que se les esta prediendo el foco a algunitos. Todas las ayudas e ideas son bien acojidas.
Seguire en la lucha de entender y aprender a configurar de mejor manera las seguridades en RedHat
Pues si se estan dando ...
[quote=Willan]
Al parecer en el Ecuador estas cosas no se estaban dando ...
[/quote]
Pues te cuento que si, hay cientos de máquinas comprometidas (máquinas de terceros que ni idea tienen de lo que está pasando) haciendo scanning de puertos, ataques tipo diccionario e incluso de fuerza bruta...
Lo recomendable es que actualizes tu RH9 a algo como CentOS 4.4, configures bien tu firewall y solo los servicios que vas a usar, de esa manera es más facil vigilar que es lo que está ocurriendo en tu server, además instala y configura un IDS como snort, eso te puede ayudar a ver quien te está queriendo atacar...
Suerte ...
bye
:)
CentOS 4.4
Disculpa la pregunta pero me quede muy interesado referente a la recomendación q mencionas para actualizar el RH9 a CentOS 4.4, que ventajas no mas tendría al actualizarme a CentOS ya que los únicos servicios q provee mi servidor es la dar Internet a los usuarios usando Squid, servicio de correo mediante sendmail y las configuraciones mas conocidas de seguridad como el iptables.
http://www.linuxparatodos.net/geeklog/article.php?story=20060830185023595
Recién estoy quitando mi ignorancia referente a CentOS
La pregunta es ?? Debo dar de baja a mi servidor q tengo por el momento y en el mismo equipo instalar CentOS o solamente se necesita actualizar el RH.
Gracias por sus comentarios
Retiro lo dicho CentOS
http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=manuales-indice
La pregunta en si es??? que tan dificil es administrar CentOS, y cual es su diferencia basica con RH9.
Gracias
Qué mejor criterio que el
Qué mejor criterio que el de un experto en la línea redhat:
http://www.ecualug.org/?q=2005/06/07/blog/co2pd/como_actualizar_rh9_a_centos_3_de_forma_remota_online
http://www.ecualug.org/?q=2004/07/22/comos/centos/como_actualizar_rh9_y_7_x_con_enterprise_linux
Saludos.
Saludos,
antares
Actualizando
Gracias,
Te cuento que soy nuevo por aqui y realmente estoy emocionado con lo q estoy aprendiendo en tan poco tiempo con la ayuda de todos ustedes.
Voy hacer unas pruebas en el computador de mi casa a ver como me va.
Saludos
mmmmmm.........
[quote=Willan]Al parecer en el Ecuador estas cosas no se estaban dando pero por el momento parece que se les esta prediendo el foco a algunitos[/quote] ¿Estás seguro que son ecuatorianos? Alguna vez me pasó algo parecido, y el cracker entró desde una IP en holanda. Desde mi server empezó a hacer ataques de diccionario contra otros servers. Cuando lo descubrí encontré por donde entraba y cerré esa brecha de seguridad.
Saludos.
Saludos,
antares
ejecutando chkrootkit y rkhunter
Les comento q ejecute la revisión en mi servidor con la ayuda de chkrootkit y rkhunter, obteniendo algunas diferencias entre los dos.
Segun chkrootkit no aparece nada raro en los resultado pero con rkhunter obtengo un reporte q si me preocupa.
Si alguien tiene una idea donde esta mal configurado mi servidor estaré muy agradecido
[b]Con chkrootkit[/b]
[root@ns chkrootkit-0.47]# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... can't exec ./strings-static, not tested
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not infected
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /usr/lib/perl5/5.8.0/i386
-linux-thread-multi/auto/ExtUtils/MakeMaker/.packlist
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... Checking `rexedcs'... not found
Checking `sniffer'... not tested: can't exec ./ifpromisc
Checking `w55808'... not infected
Checking `wted'... not tested: can't exec ./chkwtmp
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... not tested: can't exec ./chklastlog
Checking `chkutmp'... not tested: can't exec ./chkutmp
[root@ns chkrootkit-0.47]#
[b]y con rkhunter[/b]
[root@ns rkhunter]# rkhunter -c
Rootkit Hunter 1.2.8 is running
Determining OS... Ready
Checking binaries
* Selftests
Strings (command) [ OK ]
* System tools
Performing 'known good' check...
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/dmesg [ OK ]
/bin/egrep [ OK ]
/bin/env [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/mount [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/su [ OK ]
/sbin/chkconfig [ OK ]
/sbin/depmod [ OK ]
/sbin/ifconfig [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/runlevel [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/kill [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/users [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
[Press to continue]
Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'... [ OK ]
ADM Worm... [ OK ]
Rootkit 'AjaKit'... [ OK ]
Rootkit 'aPa Kit'... [ OK ]
Rootkit 'Apache Worm'... [ OK ]
Rootkit 'Ambient (ark) Rootkit'... [ OK ]
Rootkit 'Balaur Rootkit'... [ OK ]
Rootkit 'BeastKit'... [ OK ]
Rootkit 'beX2'... [ OK ]
Rootkit 'BOBKit'... [ OK ]
Rootkit 'CiNIK Worm (Slapper.B variant)'... [ OK ]
Rootkit 'Danny-Boy's Abuse Kit'... [ OK ]
Rootkit 'Devil RootKit'... [ OK ]
Rootkit 'Dica'... [ OK ]
Rootkit 'Dreams Rootkit'... [ OK ]
Rootkit 'Duarawkz'... [ OK ]
Rootkit 'Flea Linux Rootkit'... [ OK ]
Rootkit 'FreeBSD Rootkit'... [ OK ]
Rootkit 'Fuck`it Rootkit'... [ OK ]
Rootkit 'GasKit'... [ OK ]
Rootkit 'Heroin LKM'... [ OK ]
Rootkit 'HjC Kit'... [ OK ]
Rootkit 'ignoKit'... [ OK ]
Rootkit 'ImperalsS-FBRK'... [ OK ]
Rootkit 'Irix Rootkit'... [ OK ]
Rootkit 'Kitko'... [ OK ]
Rootkit 'Knark'... [ OK ]
Rootkit 'Li0n Worm'... [ OK ]
Rootkit 'Lockit / LJK2'... [ OK ]
Rootkit 'MRK'... [ OK ]
Rootkit 'Ni0 Rootkit'... [ OK ]
Rootkit 'RootKit for SunOS / NSDAP'... [ OK ]
Rootkit 'Optic Kit (Tux)'... [ OK ]
Rootkit 'Oz Rootkit'... [ OK ]
Rootkit 'Portacelo'... [ OK ]
Rootkit 'R3dstorm Toolkit'... [ OK ]
Rootkit 'RH-Sharpe's rootkit'... [ OK ]
Rootkit 'RSHA's rootkit'... [ OK ]
Sebek LKM [ OK ]
Rootkit 'Scalper Worm'... [ OK ]
Rootkit 'Shutdown'... [ OK ]
Rootkit 'SHV4'... [ OK ]
Rootkit 'SHV5'... [ OK ]
Rootkit 'Sin Rootkit'... [ OK ]
Rootkit 'Slapper'... [ OK ]
Rootkit 'Sneakin Rootkit'... [ OK ]
Rootkit 'Suckit Rootkit'... [ OK ]
Rootkit 'SunOS Rootkit'... [ OK ]
Rootkit 'Superkit'... [ OK ]
Rootkit 'TBD (Telnet BackDoor)'... [ OK ]
Rootkit 'TeLeKiT'... [ OK ]
Rootkit 'T0rn Rootkit'... [ OK ]
Rootkit 'Trojanit Kit'... [ OK ]
Rootkit 'Tuxtendo'... [ OK ]
Rootkit 'URK'... [ OK ]
Rootkit 'VcKit'... [ OK ]
Rootkit 'Volc Rootkit'... [ OK ]
Rootkit 'X-Org SunOS Rootkit'... [ OK ]
Rootkit 'zaRwT.KiT Rootkit'... [ OK ]
* Suspicious files and malware
Scanning for known rootkit strings [ OK ]
Scanning for known rootkit files
[ OK ]
Testing running processes...
[ OK ]
Miscellaneous Login backdoors [ OK ]
Miscellaneous directories [ OK ]
Software related files [ OK ]
Sniffer logs [ OK ]
[Press to continue]
* Trojan specific characteristics
shv4
Checking /etc/rc.d/rc.sysinit
Test 1 [ Clean ]
Test 2 [ Clean ]
Test 3 [ Clean ]
Checking /etc/inetd.conf [ Not found ]
Checking /etc/xinetd.conf [ Clean ]
* Suspicious file properties
chmod properties
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]
Script replacements
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]
* OS dependant tests
Linux
Checking loaded kernel modules... [ OK ]
Checking files attributes [ OK ]
Checking LKM module path [ OK ]
Networking
* Check: frequently used backdoors
Port 2001: Scalper Rootkit [ OK ]
Port 2006: CB Rootkit [ OK ]
Port 2128: MRK [ OK ]
Port 14856: Optic Kit (Tux) [ OK ]
Port 47107: T0rn Rootkit [ OK ]
Port 60922: zaRwT.KiT [ OK ]
* Interfaces
Scanning for promiscuous interfaces [ OK ]
[Press to continue]
System checks
* Allround tests
Checking hostname... Found. Hostname is ns
Checking for passwordless user accounts... OK
Checking for differences in user accounts... [ NA ]
Checking for differences in user groups... Creating file It seems this is your first time.
Checking boot.local/rc.local file...
- /etc/rc.local [ OK ]
- /etc/rc.d/rc.local [ OK ]
- /usr/local/etc/rc.local [ Not found ]
- /usr/local/etc/rc.d/rc.local [ Not found ]
- /etc/conf.d/local.start [ Not found ]
- /etc/init.d/boot.local [ Not found ]
Checking rc.d files...
Processing........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
........................................
....................................
Result rc.d files check [ OK ]
Checking history files
Bourne Shell [ OK ]
* Filesystem checks
Checking /dev for suspicious files...
[ OK ]
Scanning for hidden files... [ OK ]
[Press to continue]
Application advisories
* Application scan
Checking Apache2 modules ... [ Not found ]
Checking Apache configuration ... [ OK ]
* Application version scan
- GnuPG 1.2.1 [ Old or patched version ]
- Apache 2.0.40 [ Old or patched version ]
- Bind DNS 9.2.1 [ Unknown ]
- OpenSSL 0.9.7a [ Old or patched version ]
- PHP [unknown] [ OK ]
- Procmail MTA 3.22 [ OK ]
- OpenSSH 3.5p1 [ Old or patched version ]
Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)
Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]
* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
info:
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning (SSH v1
allowed) ]
* Check: Events and Logging
Search for syslog configuration... [ OK ]
Checking for running syslog slave... [ OK ]
Checking for logging to remote system... [ OK (no remote logging) ]
[Press to continue]
---------------------------- Scan results ----------------------------
MD5
MD5 compared: 51
Incorrect MD5 checksums: 0
File scan
Scanned files: 342
Possible infected files: 0
Application scan
Vulnerable applications: 4
Scanning took 244 seconds
-----------------------------------------------------------------------
Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)
-----------------------------------------------------------------------
[root@ns rkhunter]#
Crackers e intrusion
Revisa todos los procesos que estas ejecutando, verifica tambien todos los puertos abiertos en tu maquina.
Existen formas muy comunes de invadir utilizando vulnerabilidades de aplicaciones php.