Me jackearon mi server AYUDA

Forums: 

Amigos me jackearon mi server centos

Cuando ingreso a loclahost me sale Jackeado...

Cuando ingreso a phpmyadmin me sale error en el sql no se carga

Ayuda de urgencia porfa como puedo elimonat eso..

Tenia intalado el xampp y lo desintale, instale la nueva version y sigue lo mismo

Saca un respaldo de tu sitio

Saca un respaldo de tu sitio web, así como también de la base de datos revisa que los datos no hayan sido comprometidos y prepara un desde cero a tu server, toma muchas precausiones al levantar nuevamente el sitio recomiendo sinceramente después de tenerlo activo al sitio instales modsecurity2.

Saludos,

Tengo ya todos los

Imagen de myriancita44

Tengo ya todos los respaldo... pero quiero saber si hay una forma de sacarlo...

COmo puedo hacer para detectar de que ip ingreso para bloquarlo, que hiso y como reparar lo que hiso

Myriam Ruíz

Puedes ejecutar varios

Puedes ejecutar varios comandos como por ejemplo:
last -> registra un log de los ingresos del usuario al sistema este ademas registra desde donde o la ip que generó el ingreso así como el usuario con el que ingresó.
Puedes además revisar los logs de /var/log/secure para revisar los intentos que el atacante trato de ingresar.
Son varias las formas en que puedieron haber ingresado, y por ello una vez que hayan ingresado lo recomendable es hacer un borra y va de nuevo porque si ya ingresó el atacante pudo haberte dejado un rootkit o cualquier cosa que lo unico que vas ha tener después son problemas, entonces yo al menos recomiendo que en estos casos si hagamos el trámite nuevamente.

Como lo dije antes, si manejas php asegúralo, si usas phpmyadmin haz que su ingreso sea https, y por ultimo instala modsecurity2 con eso evitaras ataques como inyecciones sql, entre otras.

Saludos,

Seguridad

Imagen de JCMilleniuM

Recomendación:

Actualiza siempre los paquetes
Cambia las configuraciones default para que se ajusten más a tus necesidades
Usa https donde necesites intercambiar información delicada
Utiliza diferentes contraseñas para los servicios
No descartes un usuario dentro de tu LAN
Levanta los servicios que necesites

Personalmente XAMMP no es para entornos en producción, posiblemente entraron por phpmyadmin ya que no tienes una contraseña para ingresar, usa un firewall y expon solo los servicios que sean necesarios a internet.

Salu2

--
Ing. Juan Carlos Moreno A.

coincido con jc la solución

Imagen de Epe

coincido con jc
la solución no será única, debes trabajar varios temas. Pero sobre todo no instales esos lamp o xampp o como sea. Usa los paquetes estándares de centos y manténlos actualizados. Es un paso.. te tocará tomar otros.

Verifica que esté actualizado tu código php y todo tu sistema..

revisa bien cómo entraron y verifica si puedes tapar ese hueco

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Gracias si voy a seguir todos

Imagen de myriancita44

Gracias si voy a seguir todos sus consejos

Pero les indico como ingresaron al server segun lo que me da los logs

root@puom [~]# more -f /var/log/secure
Aug 8 04:03:43 ogm sshd[2073]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:43 ogm sshd[2073]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:45 ogm sshd[2073]: Failed password for mysql from 184.154.49.203 port 35457 ssh2
Aug 8 04:03:45 ogm sshd[2074]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:47 ogm sshd[2075]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:47 ogm sshd[2075]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:49 ogm sshd[2075]: Failed password for mysql from 184.154.49.203 port 35843 ssh2
Aug 8 04:03:49 ogm sshd[2076]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:50 ogm sshd[2077]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:50 ogm sshd[2077]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:52 ogm sshd[2077]: Failed password for mysql from 184.154.49.203 port 36219 ssh2
Aug 8 04:03:53 ogm sshd[2078]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:54 ogm sshd[2079]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:54 ogm sshd[2079]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:03:56 ogm sshd[2079]: Failed password for mysql from 184.154.49.203 port 36556 ssh2
Aug 8 04:03:56 ogm sshd[2080]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:03:57 ogm sshd[2081]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:03:57 ogm sshd[2081]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql

Aug 8 04:03:59 ogm sshd[2081]: Failed password for mysql from 184.154.49.203 port 36882 ssh2
Aug 8 04:03:59 ogm sshd[2082]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:04:01 ogm sshd[2083]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:04:01 ogm sshd[2083]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203 user=mysql
Aug 8 04:04:02 ogm sshd[2083]: Failed password for mysql from 184.154.49.203 port 37203 ssh2
Aug 8 04:04:03 ogm sshd[2084]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:04:04 ogm sshd[2085]: Invalid user mysql1 from 184.154.49.203
Aug 8 04:04:04 ogm sshd[2085]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:04:04 ogm sshd[2086]: input_userauth_request: invalid user mysql1
Aug 8 04:04:04 ogm sshd[2085]: pam_unix(sshd:auth): check pass; user unknown
Aug 8 04:04:04 ogm sshd[2085]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203
Aug 8 04:04:04 ogm sshd[2085]: pam_succeed_if(sshd:auth): error retrieving information about user mysql1
Aug 8 04:04:06 ogm sshd[2085]: Failed password for invalid user mysql1 from 184.154.49.203 port 37526 ssh2
Aug 8 04:04:06 ogm sshd[2086]: Received disconnect from 184.154.49.203: 11: Bye Bye
Aug 8 04:04:07 ogm sshd[2087]: Invalid user mysql1 from 184.154.49.203
Aug 8 04:04:07 ogm sshd[2087]: reverse mapping checking getaddrinfo for serv.tooplayer.com failed - POSSIBLE BREAK-IN ATTEMPT!
Aug 8 04:04:07 ogm sshd[2088]: input_userauth_request: invalid user mysql1
Aug 8 04:04:07 ogm sshd[2087]: pam_unix(sshd:auth): check pass; user unknown
Aug 8 04:04:07 ogm sshd[2087]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=184.154.49.203
Aug 8 04:04:07 ogm sshd[2087]: pam_succeed_if(sshd:auth): error retrieving information about user mysql1

Aug 11 12:10:04 puom gdm[3327]: pam_unix(gdm:session): session opened for user root by (uid=0)
Aug 11 12:12:05 puom userhelper[3691]: pam_timestamp(system-config-services:session): updated timestamp file `/var/run/sudo/root/unknown'
Aug 11 12:12:05 puom userhelper[3694]: running '/usr/sbin/system-config-services' with root privileges on behalf of 'root'
Aug 11 12:53:57 puom gdm[4458]: pam_unix(gdm:session): session opened for user root by (uid=0)
Aug 11 12:54:12 puom gdm[4458]: pam_unix(gdm:session): session closed for user root
Aug 11 12:54:15 puom gdm[3327]: pam_unix(gdm:session): session closed for user root
Aug 11 12:57:56 puom su: pam_unix(su-l:session): session opened for user postgres by (uid=0)
Aug 11 12:57:58 puom su: pam_unix(su-l:session): session closed for user postgres
Aug 11 12:58:17 puom webmin[3332]: Webmin starting
Aug 11 12:58:45 puom gdm[3442]: pam_unix(gdm:session): session opened for user root by (uid=0)

root@puom [~]# tail -f /var/log/messages
Aug 11 13:16:15 puom dhcpd: If this DHCP server is authoritative for that subnet,
Aug 11 13:16:15 puom dhcpd: please write an `authoritative;' directive either in the
Aug 11 13:16:15 puom dhcpd: subnet declaration or in some scope that encloses the
Aug 11 13:16:15 puom dhcpd: subnet declaration - for example, write it at the top
Aug 11 13:16:15 puom dhcpd: of the dhcpd.conf file.
Aug 11 13:16:18 puom dhcpd: DHCPINFORM from 192.168.7.37 via eth0: not authoritative for subnet 192.168.7.0
Aug 11 13:17:54 puom clamd[2781]: SelfCheck: Database status OK.
Aug 11 13:28:36 puom dhcpd: Unable to add forward map from jOcKeR_DJ-PC.wlan.uom.edu.ec to 192.168.7.223: timed out
Aug 11 13:28:36 puom dhcpd: DHCPREQUEST for 192.168.7.223 from 00:1b:77:3c:cb:90 (jOcKeR_DJ-PC) via eth0
Aug 11 13:28:36 puom dhcpd: DHCPACK on 192.168.7.223 to 00:1b:77:3c:cb:90 (jOcKeR_DJ-PC) via eth0

Ahora interpretar estos mensajes no se mucho me pueden ayudar

Myriam Ruíz

Cita: Failed password for

Imagen de deathUser

[quote]Failed password for mysql from 184.154.49.203 ...[/quote]

Se ven muchos intentos de ingresar con varios usuarios desde ese IP, no veo que lo hayan conseguido, es posible que más adelante puedas ver una línea en la que consiguió el acceso:

[quote]session opened for user root by (uid=0)[/quote]

En ese caso es root en la consola, pero es probable que tengas una línea similar para cuando consiguió el acceso remoto, búscala y cuando ubiques con que usuario ingresaron, mira el archivo .bash_history del usuario en cuestión (si tiene bash como shell, muy común en los linux actuales) es probable que encuentres algo de lo que el intruso hizo, si es que no borró sus huellas (tal parece que no)

Suerte ...

bye
;)

PD: coincido en que reinstales el sistema, pero nunca está demás un análisis forense para aprender cosas nuevas...

Hola sabes que si lograron

Imagen de myriancita44

Hola sabes que si lograron entrar... porque mysql no funciona y tampoco puedo ingresar a phpmyadmin

hay algunos errores que me da actualmente en el server

Bueno voy a hacer lo que me indicas

pero lo aconsejable sería formatear el server verdad

Myriam Ruíz

no digo que no hayan podido

Imagen de deathUser

no digo que no hayan podido entrar, lo único que digo es que en las pocas líneas del log que nos muestras, solo se ven intentos fallidos, lo del mysql podría potencialmente ser por otras causas, pero no se puede descartar, trata de encontrar el usuario con el que se loguearon si te interesa un análisis forense de los hechos, si no, pues toma tus respaldos, y formatea, reinstala, asegura la instalación y carga los backups y todo arriba ...

Suerte ...

bye
;)

Páginas