coin escribió:
Saludos. Tengo un servidor que corre un gestor de contenido el
PHP-NUKE en la versión 7.8
Resulta que me lo han crackeado como 100 veces y ya me harte.
He cambiado las constraseñas de admin, he reinstalado completito el
php-nuke y aun asi me lo siguen fregando.
Lo curioso es que no le han tocado un pelo a mysql ni a apache o al
servidor en si.
A pesar de saber quien entra no he podido determinar de donde proviene
el ataque, aunque según los mensajes que dejan estos hijos de su
madres, tal parece que son varios o al menos son distintos los que
crackean y eso lo hace más dificil.
Agradecería cualquier comentario o sugerencia para evitar que pase esto.
En las listas de PHP-NUKE solo indican que pues hay tener la versión
actualizada y el bug corregido, pero ni modo que todos los servidores
que esten corriendo esta versión tal cual la tengo yo, esten siendo
crackeados en este moment.
Gracias de antemano
Para evitar que te crakeen una web es necesario algo más que tener
actualizado el php-nuke.
* ¿tienes actualizado el sistema?.Consejo: #aptitude update, y luego
#aptitude upgrade
* ¿tienes un cortafuegos en tu servidor? Consejo: instala uno.
Ejemplo:#aptitude install firehol. Luego vas a #etc/firehol.conf
y permites que actue de servidor sólo a los servicios que
necesites: http, etc...
* ¿has parado los servicios innecesarios?
* ¿cómo te conectas a tu servidor? espero que vía ssh o similar, y
sin permitir acceso al root. Consejo: impide el acceso al root. Te
conectarás vía ssh con un usuario normal y luego haces su - para
acceder como root.
* ¿has identificado cómo han entrado? ¿desde qué ips? ¿a través de
qué método? Revisa tus logs, incluso puedes probar con utilidades
de seguridad, como nmap, que te ayudarán a identificar los
agujeros de tu sistema.
* ¿te estás identificando a través de ssl o tls?. Si no lo haces tus
contraseñas "viajan" en texto plano y cualquiera con un sniffer
las puede leer. Prepara un servidor seguro y autentifícate a
través de él. Es muy fácil hacerlo en debian. En esdebian.com
(http://www.esdebian.org/forum/viewtopic.php?showtopic=62596&lastpost=true)
puse hace tiempo un post sobre cómo hacerlo. En internet hay
muchísima información sobre todos los puntos anteriores.
* ¿Te has asegurado de que no te falla la ingeniería social?
¿quienes saben las contraseñas de administrador? ¿quienes tienen
privilegios elevados?
Espero que te sirva para comenzar.
Un saludo
Luis Franco Vázquez
Programador y analista informático.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
