El archivo /home/userz/.bash_history
NO existe fué el primero que busqué pero deconozco cómo obtener TODA acción realizada por IPx sin embargo con egrep -Ri IPx /var/log/* creo que ya tengo "TODO" o puede el hacker haber borrado el LOG ? GRACIAS ! El 29/12/13, Gabriel Pinares <glupi...@gmail.com> escribió: > Apreciados: MUCHAS GRACIAS. > > Yo he creado a "userZ" > userZ ha cambiaod la clave por una que desconozco. > > el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta > lísta de CentOs > la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de > CentOs > > no estoy seguro, pero CREO que el comando > egrep -Ri IPx /var/log/* > me díce TODO lo que ha efectuado IPx en el servidor > ¿correcto? > > ésto es lo que he obtenido con ESE comando: > > root@http [~]# egrep -Ri IPx /var/log/* > /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-0000p8-Hs <= > root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert > for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for > glupi...@gmail.com > /var/log/lfd.log:Dec 29 08:49:39 http lfd[3168]: *SSH login* from IPx > into the userZ account using password authentication > /var/log/messages:Dec 29 08:48:17 http pure-ftpd: (?@IPx) [INFO] New > connection from IPx > /var/log/messages:Dec 29 08:48:18 http pure-ftpd: (?@IPx) [INFO] userZ > is now logged in > /var/log/messages:Dec 29 08:49:09 http pure-ftpd: (userZ@IPx) [NOTICE] > /home/userZ//public_html/fXvQhK4G.gif uploaded (10 bytes, 0.03KB/sec) > /var/log/messages:Dec 29 08:49:16 http pure-ftpd: (userZ@IPx) [NOTICE] > Deleted /home/userZ//public_html//fXvQhK4G.gif > /var/log/messages:Dec 29 08:49:18 http pure-ftpd: (userZ@IPx) [NOTICE] > /home/userZ//tmp/webalizerftp/9cKqzpj7.gif uploaded (10 bytes, 0.03KB > /sec) > /var/log/messages:Dec 29 08:49:25 http pure-ftpd: (userZ@IPx) [NOTICE] > Deleted /home/userZ//tmp/webalizerftp//9cKqzpj7.gif > /var/log/messages:Dec 29 08:49:46 http pure-ftpd: (userZ@IPx) [INFO] > Logout. > /var/log/secure:Dec 29 08:49:35 http sshd[3156]: Accepted password for > userZ from IPx port 44021 ssh2 > /var/log/secure:Dec 29 08:49:46 http sshd[3164]: Received disconnect > from IPx: 11: PECL/ssh2 (http://pecl.php.net/packages/ssh2) > root@http [~]# > > > ahora puedo ver que SI SE TRATA de un hacker que ha logrado capturar la > CLAVE > del inocente userZ > y que al obtenerla se conectó por FTP para ONFIRMAR clave > LUEGO, se conectó por SHELL con ESE USER > pero a mi me parece extraño: > > Accepted password for userz from IPx port 44021 ssh2 > > quién es 44021 ? > > aunque sé que debo cambiar el 22 por OTRO, > no lo he hecho aún. > > Luego, > éste atacante debería haberse conectado al 22 > no al 44021 > > es correcto? > > mas orientación por favor. > > GRACIAS > > > El 29/12/13, Miguel González <miguel_3_gonza...@yahoo.es> escribió: >> On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote: >>> On 12/29/2013 11:09 AM, Gabriel Pinares wrote: >>>> Hola. >>>> >>>> Desde x IP se han logrado colar utilizando SHELL. >>> primero que todo, relax... apagando o reinstalando no resolverás nada.. >>> así que es PERFECTO que estés tratando de averiguar cómo, para que >>> puedas solucionar el hueco... excelente. >>> >>> >>>> - - - - - - - - >>>> Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx >>>> port 44021 ssh2 >>>> Dec 29 08:49:35 http sshd[3156]: pam_unix(sshd:session): session >>>> opened for user userz by (uid=0) >>>> Dec 29 08:49:46 http sshd[3164]: Received disconnect from IPx: 11: >>>> PECL/ssh2 (http://pecl.php.net/packages/ssh2) >>>> Dec 29 08:49:46 http sshd[3156]: pam_unix(sshd:session): session >>>> closed for user userz >>>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - >>> bien, entraron por ssh, por qué veo PECL? no sé, pero entraron por ssh >>> aparentemente. Este usuario userz lo creaste tu? si no lo creaste tu, >>> sigue la traza de quién le creó. Este usuario si lo creaste tú.. tenía >>> una clave decente y fuerte? Por qué este usuario no tenía /sbin/nologin? >>> Primer tip: asegurar los login via SSH.... quizá restringiéndoles. >> >> Parece que han usado la extension SSH2 de PECL: >> >> http://kvz.io/blog/2007/07/24/make-ssh-connections-with-php/ >> >> Yo intentaría ver si tienes esa extension en tu sistema con una consulta >> al yum. Si la tienes instalada, yo la desinstalaria o la bloquearia a >> ciertas ips. >>> >>>> ¿puedo hallar más info de las acciones que ha realizado [IPx] ? >>>> ¿cómo? / ¿dónde? >>> egrep -Ri IPx /var/log/* >>> >>> En caso de duda, léete TODOS los logs, buscando información sobre esta >>> IP y/o sobre el usuario userz (que me parece creado previamente por el >>> atacante, así que el problema posiblemente vaya por otro lado) >> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando >> history por si el hacker ha sido tan descuidado que no ha borrado el >> historico de comandos. >> >> Otra cosa, es bastante recomendable utilizar herramientas como fail2ban >> que permiten banear IPs que intentan hacer ataques DDOS, tambien banean >> IPs que rastrean tu servicio SSH. >> >> Si necesitas ayuda profesional, yo soy freelance de sistemas. >> >> Saludos >> >> Miguel >> >> >> >> --- >> This email is free from viruses and malware because avast! Antivirus >> protection is active. >> http://www.avast.com >> >> >> This message and any attachments are intended for the use of the >> addressee >> or addressees only. The unauthorised disclosure, use, dissemination or >> copying (either in whole or in part) of its content is not permitted. If >> you >> received this message in error, please notify the sender and delete it >> from >> your system. Emails can be altered and their integrity cannot be >> guaranteed >> by the sender. >> >> Please consider the environment before printing this email. >> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
