Forums:
Amigos me jackearon mi server centos
Cuando ingreso a loclahost me sale Jackeado...
Cuando ingreso a phpmyadmin me sale error en el sql no se carga
Ayuda de urgencia porfa como puedo elimonat eso..
Tenia intalado el xampp y lo desintale, instale la nueva version y sigue lo mismo
Saca un respaldo de tu sitio
Saca un respaldo de tu sitio web, así como también de la base de datos revisa que los datos no hayan sido comprometidos y prepara un desde cero a tu server, toma muchas precausiones al levantar nuevamente el sitio recomiendo sinceramente después de tenerlo activo al sitio instales modsecurity2.
Saludos,
Tengo ya todos los
Tengo ya todos los respaldo... pero quiero saber si hay una forma de sacarlo...
COmo puedo hacer para detectar de que ip ingreso para bloquarlo, que hiso y como reparar lo que hiso
Myriam Ruíz
Puedes ejecutar varios
Puedes ejecutar varios comandos como por ejemplo:
last -> registra un log de los ingresos del usuario al sistema este ademas registra desde donde o la ip que generó el ingreso así como el usuario con el que ingresó.
Puedes además revisar los logs de /var/log/secure para revisar los intentos que el atacante trato de ingresar.
Son varias las formas en que puedieron haber ingresado, y por ello una vez que hayan ingresado lo recomendable es hacer un borra y va de nuevo porque si ya ingresó el atacante pudo haberte dejado un rootkit o cualquier cosa que lo unico que vas ha tener después son problemas, entonces yo al menos recomiendo que en estos casos si hagamos el trámite nuevamente.
Como lo dije antes, si manejas php asegúralo, si usas phpmyadmin haz que su ingreso sea https, y por ultimo instala modsecurity2 con eso evitaras ataques como inyecciones sql, entre otras.
Saludos,
Primero revisa los LOG´s
Primero revisa los LOG´s todos estan en var/log/ puedes usar tail o more:
tail -f /var/log/secure
tail -f /var/log/messages
more /var/log/secure
Saludos.
Seguridad
Recomendación:
Actualiza siempre los paquetes
Cambia las configuraciones default para que se ajusten más a tus necesidades
Usa https donde necesites intercambiar información delicada
Utiliza diferentes contraseñas para los servicios
No descartes un usuario dentro de tu LAN
Levanta los servicios que necesites
Personalmente XAMMP no es para entornos en producción, posiblemente entraron por phpmyadmin ya que no tienes una contraseña para ingresar, usa un firewall y expon solo los servicios que sean necesarios a internet.
Salu2
--
Ing. Juan Carlos Moreno A.
coincido con jc la solución
coincido con jc
la solución no será única, debes trabajar varios temas. Pero sobre todo no instales esos lamp o xampp o como sea. Usa los paquetes estándares de centos y manténlos actualizados. Es un paso.. te tocará tomar otros.
Verifica que esté actualizado tu código php y todo tu sistema..
revisa bien cómo entraron y verifica si puedes tapar ese hueco
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Gracias si voy a seguir todos
Gracias si voy a seguir todos sus consejos
Pero les indico como ingresaron al server segun lo que me da los logs
root@puom [~]# more -f /var/log/secure
Aug 8 04:03:43 ogm sshd[2073]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:43 ogm sshd[2073]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:45 ogm sshd[2073]: Failed password for mysql from 184.154.49.203 port 35457 ssh2
Aug 8 04:03:45 ogm sshd[2074]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:47 ogm sshd[2075]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:47 ogm sshd[2075]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:49 ogm sshd[2075]: Failed password for mysql from 184.154.49.203 port 35843 ssh2
Aug 8 04:03:49 ogm sshd[2076]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:50 ogm sshd[2077]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:50 ogm sshd[2077]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:52 ogm sshd[2077]: Failed password for mysql from 184.154.49.203 port 36219 ssh2
Aug 8 04:03:53 ogm sshd[2078]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:54 ogm sshd[2079]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:54 ogm sshd[2079]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:56 ogm sshd[2079]: Failed password for mysql from 184.154.49.203 port 36556 ssh2
Aug 8 04:03:56 ogm sshd[2080]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:57 ogm sshd[2081]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:57 ogm sshd[2081]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:59 ogm sshd[2081]: Failed password for mysql from 184.154.49.203 port 36882 ssh2
Aug 8 04:03:59 ogm sshd[2082]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:04:01 ogm sshd[2083]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:04:01 ogm sshd[2083]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:04:02 ogm sshd[2083]: Failed password for mysql from 184.154.49.203 port 37203 ssh2
Aug 8 04:04:03 ogm sshd[2084]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:04:04 ogm sshd[2085]: Invalid user mysql1 from 184.154.49.203
Aug 8 04:04:04 ogm sshd[2085]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:04:04 ogm sshd[2086]: input_userauth_request: invalid user mysql1
Aug 8 04:04:04 ogm sshd[2085]: pam_unix(sshd:auth): check pass; user unknown
Aug 8 04:04:04 ogm sshd[2085]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203
Aug 8 04:04:04 ogm sshd[2085]: pam_succeed_if(sshd:auth): error retrieving information about user mysql1
Aug 8 04:04:06 ogm sshd[2085]: Failed password for invalid user mysql1 from 184.154.49.203 port 37526 ssh2
Aug 8 04:04:06 ogm sshd[2086]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:04:07 ogm sshd[2087]: Invalid user mysql1 from 184.154.49.203
Aug 8 04:04:07 ogm sshd[2087]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:04:07 ogm sshd[2088]: input_userauth_request: invalid user mysql1
Aug 8 04:04:07 ogm sshd[2087]: pam_unix(sshd:auth): check pass; user unknown
Aug 8 04:04:07 ogm sshd[2087]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203
Aug 8 04:04:07 ogm sshd[2087]: pam_succeed_if(sshd:auth): error retrieving information about user mysql1
Aug 11 12:10:04 puom gdm[3327]: pam_unix(gdm:session): session opened for user root by (uid=0)
Aug 11 12:12:05 puom userhelper[3691]: pam_timestamp(system-config-services:session): updated timestamp file `/var/run/sudo/root/unknown'
Aug 11 12:12:05 puom userhelper[3694]: running '/usr/sbin/system-config-services' with root privileges on behalf of 'root'
Aug 11 12:53:57 puom gdm[4458]: pam_unix(gdm:session): session opened for user root by (uid=0)
Aug 11 12:54:12 puom gdm[4458]: pam_unix(gdm:session): session closed for user root
Aug 11 12:54:15 puom gdm[3327]: pam_unix(gdm:session): session closed for user root
Aug 11 12:57:56 puom su: pam_unix(su-l:session): session opened for user postgres by (uid=0)
Aug 11 12:57:58 puom su: pam_unix(su-l:session): session closed for user postgres
Aug 11 12:58:17 puom webmin[3332]: Webmin starting
Aug 11 12:58:45 puom gdm[3442]: pam_unix(gdm:session): session opened for user root by (uid=0)
root@puom [~]# tail -f /var/log/messages
Aug 11 13:16:15 puom dhcpd: If this DHCP server is authoritative for that subnet,
Aug 11 13:16:15 puom dhcpd: please write an `authoritative;' directive either in the
Aug 11 13:16:15 puom dhcpd: subnet declaration or in some scope that encloses the
Aug 11 13:16:15 puom dhcpd: subnet declaration - for example, write it at the top
Aug 11 13:16:15 puom dhcpd: of the dhcpd.conf file.
Aug 11 13:16:18 puom dhcpd: DHCPINFORM from 192.168.7.37 via eth0: not authoritative for subnet 192.168.7.0
Aug 11 13:17:54 puom clamd[2781]: SelfCheck: Database status OK.
Aug 11 13:28:36 puom dhcpd: Unable to add forward map from jOcKeR_DJ-PC.wlan.uom.edu.ec to 192.168.7.223: timed out
Aug 11 13:28:36 puom dhcpd: DHCPREQUEST for 192.168.7.223 from 00:1b:77:3c:cb:90 (jOcKeR_DJ-PC) via eth0
Aug 11 13:28:36 puom dhcpd: DHCPACK on 192.168.7.223 to 00:1b:77:3c:cb:90 (jOcKeR_DJ-PC) via eth0
Ahora interpretar estos mensajes no se mucho me pueden ayudar
Myriam Ruíz
Cita: Failed password for
[quote]Failed password for mysql from 184.154.49.203 ...[/quote]
Se ven muchos intentos de ingresar con varios usuarios desde ese IP, no veo que lo hayan conseguido, es posible que más adelante puedas ver una línea en la que consiguió el acceso:
[quote]session opened for user root by (uid=0)[/quote]
En ese caso es root en la consola, pero es probable que tengas una línea similar para cuando consiguió el acceso remoto, búscala y cuando ubiques con que usuario ingresaron, mira el archivo .bash_history del usuario en cuestión (si tiene bash como shell, muy común en los linux actuales) es probable que encuentres algo de lo que el intruso hizo, si es que no borró sus huellas (tal parece que no)
Suerte ...
bye
;)
PD: coincido en que reinstales el sistema, pero nunca está demás un análisis forense para aprender cosas nuevas...
Hola sabes que si lograron
Hola sabes que si lograron entrar... porque mysql no funciona y tampoco puedo ingresar a phpmyadmin
hay algunos errores que me da actualmente en el server
Bueno voy a hacer lo que me indicas
pero lo aconsejable sería formatear el server verdad
Myriam Ruíz
no digo que no hayan podido
no digo que no hayan podido entrar, lo único que digo es que en las pocas líneas del log que nos muestras, solo se ven intentos fallidos, lo del mysql podría potencialmente ser por otras causas, pero no se puede descartar, trata de encontrar el usuario con el que se loguearon si te interesa un análisis forense de los hechos, si no, pues toma tus respaldos, y formatea, reinstala, asegura la instalación y carga los backups y todo arriba ...
Suerte ...
bye
;)
Páginas