Hola a todos
Escribo aquí porque estoy un poco preocupada por algo que está ocurriendo con mi server y luego de leer varios posts de este foro, me preocupa más aún.
Quiero dejar claro que esto no es una queja hacia EV1 ya que estoy muy conforme con el servicio, es más bien una preocupación.
En el día de ayer, me llega un e-mail de ev1 donde me informaban que desde mi server se habían producido ataques.....
Sep 20 19:16:11 gomez sshd[26981]: Illegal user e from **mi ip**
Sep 20 19:16:13 gomez sshd[26981]: Failed password for illegal user e
from **mi ip** port 49603 ssh2
Sep 20 19:16:14 gomez sshd[26983]: Illegal user f from **mi ip**
Sep 20 19:16:16 gomez sshd[26983]: Failed password for illegal user f
from **mi ip** port 49920 ssh2
Sep 20 19:16:17 gomez sshd[26985]: Illegal user g from **mi ip**
Sep 20 19:16:19 gomez sshd[26985]: Failed password for illegal user g
from **mi ip** port 50243 ssh2
Ese es el reporte que me envía EV1. Junto con un aviso de que si no respondo enseguia, me borraban el server de su net y que si tenia alguna duda o necesitaba su ayuda para resolver el problema, estaban a disposición.
A los 10 minutos de habermelo enviado, yo respondí al ticket, solicitando ayuda, ya que no entiendo como puede ocurrir, tengo el /tmp protegido con noexec, tengo el mod_security instalado y el php security y ni uno solo de mis clientes tiene acceso al shell.
El caso es que inmediatamente:
- Respondí al ticket
- Me contacté al Chat de soporte y lo hablé con Daniel W.
- Llamé por teléfono a San Antonio y hablé con Brian quien me dijo que iba a hacer una investigación más profunda.
- Escribí a Mario R. un e-mail ya que en este foro vi que se pone a las órdenes por si tenemos algún problema.
- 2 horas más tarde abrí un nuevo ticket pidiendo que me digan en qué estado estaba mi server y si habían podido investigar algo más.
Mi preocupación se basa en que no tuve respuesta de nadie aún, y esto ocurrió ayer. No se qué más hacer para que no me bajen el server.....
Por las dudas, actualicé todo (Cpanel, Apache, Softwares), hice un escaneo desde CPanel en lo que respecta a la seguridad, troyanos, procesos, etc., etc. Y aparentemente todo está bien.....
No se como pudo ocurrir esto y bueno, si alguien pudiera darme algún otro consejo.....
Ya leí casi todo lo que habla de seguridad en este foro, ahora me toca bloquear los puertos OUTBOUND pero tengo que estudiarlo bien antes porque tengo más de 400 cuentas de clientes y si bloqueo algo que luego les complique, voy a tener horas extras de soporte técnico :o
Una ayudita de parte de ustedes me vendría muy bien, ya que estoy frenada, no se qué más hacer.
Insisto en algo importante, estoy muy satisfecha con el servicio de EV1 en todos los aspectos, y seguramente la no respuesta se deba a que están estudiando aún el caso... pero por las dudas, si alguien puede darme una mano para resolver definitivamente este tema del ataque, les agradeceré enormemente.
Saludos
Full Version: Ataque desde mi server!!!
si, hicieron la investigacion y limpiearon el server no tendrias que procuparte.
simplemente piensa que un hurracan esta llegando al datacenter de ev1 y estan con un poco de laburo adicional, y apartir de hoy con menos gente en el staff hasta ma;ana.
simplemente piensa que un hurracan esta llegando al datacenter de ev1 y estan con un poco de laburo adicional, y apartir de hoy con menos gente en el staff hasta ma;ana.
Gracias compatriota!!
El tema es que no se si investigaron y limpiaron el server, porque no me han comentado nada.
Y por supuesto que han de estar un poco bastante ocupados con Rita, indudable, no me quejo, solo me preocupa no hacer las cosas bien para evitar que me bajen el server.
Reconozco que si hubo un fallo de seguridad es culpa solamente mía, y justamente la idea de mi post es solucionarlo.
Gracias!
El tema es que no se si investigaron y limpiaron el server, porque no me han comentado nada.
Y por supuesto que han de estar un poco bastante ocupados con Rita, indudable, no me quejo, solo me preocupa no hacer las cosas bien para evitar que me bajen el server.
Reconozco que si hubo un fallo de seguridad es culpa solamente mía, y justamente la idea de mi post es solucionarlo.
Gracias!
Otra pregunta....
Existe alguna posibilidad de que si un cliente, tuviera su pc con virus, y subiera archivos de su diseño al server, subiera también este virus con sus archivos y esto afectara el server???, o sea, que pueda ese ser uno de los motivos del ataque desde mi server???
Disculpen si la pregunta es tonta, ya sea por obvia como por imposible, pero como dice una firma, "el saber no ocupa lugar, la ignorancia si"
En realidad sería un caos, porque de ser posible, son contados los que no tienen virus en sus pcs.
Gracias
Existe alguna posibilidad de que si un cliente, tuviera su pc con virus, y subiera archivos de su diseño al server, subiera también este virus con sus archivos y esto afectara el server???, o sea, que pueda ese ser uno de los motivos del ataque desde mi server???
Disculpen si la pregunta es tonta, ya sea por obvia como por imposible, pero como dice una firma, "el saber no ocupa lugar, la ignorancia si"
En realidad sería un caos, porque de ser posible, son contados los que no tienen virus en sus pcs.
Gracias
Seguramente, o es algún cliente tuyo jugando a ser hacker, o bien alguno de ellos ha metido alguna aplicación con mierda metida ( un vbulletin sin licencia de esos que llevan backdoors metidos, scripts cgi/php de por ahi craqueados, etc ... cualquier burrada ). También puede ser un fallo de seguridad en algun web de un cliente tuyo, que permite que te metan archivos .. pueden ser 1000 cosas.
que tal, te puedo recomendar algo si tus clientes no tiene acceso a SSH cambia el puerto, y cambia algunos puertos comunes como 2086whm usa el 2087 tambien el webmail 2095 usa 2096 cpanel 2082 usa 2083, eso te puede ayudar usando SSL y quitando puertos usuales claro tendras que hacer modificaciones si es que usas areas de panel de facil acceso o una recomendacion mejor ve con carlos de w w w . t o t a l s e r v e r s o l u t i o n s . c o m es un buen especialista en sistemas de seguridad, yo tengo trabajando con ellos desde hace un buen tiempo y tiene un buen staff y buena antencion, yo te recomiendo el servicio de Server Management - $75.00/month te hace una configuracion inicial y un monitoreo de todo 1 mes 
Suerte y esperemos que esos hackers lammers no fastidien.. lastima es como pedir de mascota un unicornio =( pero bueno hacemos lo que se pueda un cordial saludo...
Suerte y esperemos que esos hackers lammers no fastidien.. lastima es como pedir de mascota un unicornio =( pero bueno hacemos lo que se pueda un cordial saludo...
Gracias jaume
Te diré que me respondieron el sábado pasado, dicen que eliminaron el problema y me sugieren hacer un restore para arreglar todos los fallos que han quedado.
Estaba esperando terminara el problema del Huracán para consultarles como hacer el restore (ya que es totalmente nuevo esto para mi) y hace un par de horas, se produce otra denuncia de que desde mi server han vuelto a atacar a otro server, esta vez desde otro user.
Lo que no comprendo es que ninguno de los 2 users desde los que se hacen los ataques, existen ni existieron dentro de mi server. Pero seguramente no lo comprendo de ignorante que soy nada más, ya que si es un script puede camuflarse no?
Bueno, ahora han vuelto a atacar y ya me contacté para solicitar información sobre el tema del restore, ya que como no se su funcionamiento, no se como se hace ni si quedamos sin servicio durante determinado tiempo o dónde respaldo los archivos, etc. Pero buscaré información en el foro a ver si encuentro....
Ahora.... he leido todo lo que respecta a seguridad, he hecho todo lo que aconsejan los que saben, tengo en /tmp en noexec, tengo el mod_security, tengo en mod_php, el mod_dosevasive, ningún usuario tiene acceso al ssh, etc., etc., etc. y sin embargo, estas cosas siguen pasando...
Existe alguna forma de evitar esto???? CUAL ES???
Gracias por la ayuda, juro que he leido prácticamente todo el foro, y no encuentro la respuesta, sino, no estaría por aquí molestando!!
Gracias
Rosana
Te diré que me respondieron el sábado pasado, dicen que eliminaron el problema y me sugieren hacer un restore para arreglar todos los fallos que han quedado.
Estaba esperando terminara el problema del Huracán para consultarles como hacer el restore (ya que es totalmente nuevo esto para mi) y hace un par de horas, se produce otra denuncia de que desde mi server han vuelto a atacar a otro server, esta vez desde otro user.
Lo que no comprendo es que ninguno de los 2 users desde los que se hacen los ataques, existen ni existieron dentro de mi server. Pero seguramente no lo comprendo de ignorante que soy nada más, ya que si es un script puede camuflarse no?
Bueno, ahora han vuelto a atacar y ya me contacté para solicitar información sobre el tema del restore, ya que como no se su funcionamiento, no se como se hace ni si quedamos sin servicio durante determinado tiempo o dónde respaldo los archivos, etc. Pero buscaré información en el foro a ver si encuentro....
Ahora.... he leido todo lo que respecta a seguridad, he hecho todo lo que aconsejan los que saben, tengo en /tmp en noexec, tengo el mod_security, tengo en mod_php, el mod_dosevasive, ningún usuario tiene acceso al ssh, etc., etc., etc. y sin embargo, estas cosas siguen pasando...
Existe alguna forma de evitar esto???? CUAL ES???
Gracias por la ayuda, juro que he leido prácticamente todo el foro, y no encuentro la respuesta, sino, no estaría por aquí molestando!!
Gracias
Rosana
Otro comentario.... o pregunta, ya no se....
Hoy recibí un reporte diario de un intento de logueos a mi server, un intento bastante importante..... pero entre esos intentos, se encontraban 3 ips desde las que intentaban loguearse a mi server....
Entre estas ips estaba la de mi server, otra que no existe y una tercera que al poner http://IP me llevo directo a una empresa.
Me contacto con la empresa comentando que había recibido ese ataque desde su ip y enseguida me responden que no es de ellos esa ip, que lo fue pero ya no es más y que seguramente es alguien que tiene ese servidor y olvidó configurar el mismo, blablabla......
Lo que no entiendo es que mi ip, intente atacar a mi ip, y desde un usuario que no existe... tampoco me cierra que al mismo tiempo, ev1 estuviera recibiendo una queja de alguien a quien supuestamente atacaron desde mi server.....
Hace 2 años que vendo hosting, pasé por 3 administradores diferentes, y con los 3 terminó la relación comercial con un server destruido y offline. Luego de pagar disparates para terminar en lo mismo, decidí aprender para ocuparme yo de mi server, he aprendido bastante en estos meses, y diariamente sigo aprendiendo, trato de analizar todo, probar con cuidado y luego hacer las cosas.... Así aprendí a instalar todo lo que me sugirieron expertos en seguridad, por lo cual ahora no comprendo como se coló esto, y analizandolo, no le encuentro lógica a que mi server se ataque a si mismo, o si???
Disculpen tanta molestia, pero la verdad, encuentro mucha ayuda y aprendo mucho de este foro en EV1. Gracias por la ayuda que dan aquí!
Hoy recibí un reporte diario de un intento de logueos a mi server, un intento bastante importante..... pero entre esos intentos, se encontraban 3 ips desde las que intentaban loguearse a mi server....
Entre estas ips estaba la de mi server, otra que no existe y una tercera que al poner http://IP me llevo directo a una empresa.
Me contacto con la empresa comentando que había recibido ese ataque desde su ip y enseguida me responden que no es de ellos esa ip, que lo fue pero ya no es más y que seguramente es alguien que tiene ese servidor y olvidó configurar el mismo, blablabla......
Lo que no entiendo es que mi ip, intente atacar a mi ip, y desde un usuario que no existe... tampoco me cierra que al mismo tiempo, ev1 estuviera recibiendo una queja de alguien a quien supuestamente atacaron desde mi server.....
Hace 2 años que vendo hosting, pasé por 3 administradores diferentes, y con los 3 terminó la relación comercial con un server destruido y offline. Luego de pagar disparates para terminar en lo mismo, decidí aprender para ocuparme yo de mi server, he aprendido bastante en estos meses, y diariamente sigo aprendiendo, trato de analizar todo, probar con cuidado y luego hacer las cosas.... Así aprendí a instalar todo lo que me sugirieron expertos en seguridad, por lo cual ahora no comprendo como se coló esto, y analizandolo, no le encuentro lógica a que mi server se ataque a si mismo, o si???
Disculpen tanta molestia, pero la verdad, encuentro mucha ayuda y aprendo mucho de este foro en EV1. Gracias por la ayuda que dan aquí!
hola Rosadeazul,
Yo a día de hoy en lo único que te puedo ayudar es en que sepas como buscar si una ip es de uno u otro proveedor, que puede ser tu ya lo sepas.
Si vas a www.arin.net y pones allí la ip te dice quien es el propietario real de la ip. Suele ser siempre un proveedor de Internet y es a ellos a quien te debes dirigir para darles tu queja.
Cuando recibo un email de Brute Force Attack lo que hago es reenviarlo al proveedor y les pongo que he recibido el ataque. Normalmente todos contestan para bien, excepto los del este de europa y asiaticos, sin ofender a nadie.
Espero ayudarte un poquillo más.
Un saludo
Yo a día de hoy en lo único que te puedo ayudar es en que sepas como buscar si una ip es de uno u otro proveedor, que puede ser tu ya lo sepas.
Si vas a www.arin.net y pones allí la ip te dice quien es el propietario real de la ip. Suele ser siempre un proveedor de Internet y es a ellos a quien te debes dirigir para darles tu queja.
Cuando recibo un email de Brute Force Attack lo que hago es reenviarlo al proveedor y les pongo que he recibido el ataque. Normalmente todos contestan para bien, excepto los del este de europa y asiaticos, sin ofender a nadie.
Espero ayudarte un poquillo más.
Un saludo
Gracias Syasoft!
En realidad, saber quien es que me está atacando, no gano mucho, ya que cuando me entero el ataque ya está hecho. Más que bloquear esas ip no voy a lograr.....
El problema y lo que me preocupa es que según EV1 tengo un exploit dentro del server que está atacando hacia todos lados y el último aviso fue que si no lo elimino en 24 horas, me bajan el server.
Obvio, ya es la segunda vez que ocurre lo mismo en solo 4 días, pero el problema es que YO no se como eliminar el exploit porque NO LO ENCUENTRO.
Si alguien de este foro pudiera decirme como buscar un exploit y eliminarlo, le estaré enormemente agradecida.
En realidad, saber quien es que me está atacando, no gano mucho, ya que cuando me entero el ataque ya está hecho. Más que bloquear esas ip no voy a lograr.....
El problema y lo que me preocupa es que según EV1 tengo un exploit dentro del server que está atacando hacia todos lados y el último aviso fue que si no lo elimino en 24 horas, me bajan el server.
Obvio, ya es la segunda vez que ocurre lo mismo en solo 4 días, pero el problema es que YO no se como eliminar el exploit porque NO LO ENCUENTRO.
Si alguien de este foro pudiera decirme como buscar un exploit y eliminarlo, le estaré enormemente agradecida.
Hola Rosadeazul,
Mira me pasó lo mismo con un VPS que tenía con EV y al final me lo dieron de baja.
Te recomiendo:
1.- backup de todos tus sites hospedados
2.- mira que no tengas scripts estilo phpnuke o postnuke instalados en tu server. si los tienes deshabilitalos y mira si el ataque continúa.
3.- chequea los procesos activos de tu server "ps -ef" y mira que ninguno sea sospechoso.
Por ahora y con mi cortita experiencia no te puedo decir nada más.
Saludos
Mira me pasó lo mismo con un VPS que tenía con EV y al final me lo dieron de baja.
Te recomiendo:
1.- backup de todos tus sites hospedados
2.- mira que no tengas scripts estilo phpnuke o postnuke instalados en tu server. si los tienes deshabilitalos y mira si el ataque continúa.
3.- chequea los procesos activos de tu server "ps -ef" y mira que ninguno sea sospechoso.
Por ahora y con mi cortita experiencia no te puedo decir nada más.
Saludos
Por cierto acaba de salir un pequeño bug de PostNuke y no se si los ataques desde tu server pueden venir por aquí.
Un saludo
Un saludo
QUOTE (Rosadeazul)
Gracias Syasoft!
En realidad, saber quien es que me está atacando, no gano mucho, ya que cuando me entero el ataque ya está hecho. Más que bloquear esas ip no voy a lograr.....
El problema y lo que me preocupa es que según EV1 tengo un exploit dentro del server que está atacando hacia todos lados y el último aviso fue que si no lo elimino en 24 horas, me bajan el server.
Obvio, ya es la segunda vez que ocurre lo mismo en solo 4 días, pero el problema es que YO no se como eliminar el exploit porque NO LO ENCUENTRO.
Si alguien de este foro pudiera decirme como buscar un exploit y eliminarlo, le estaré enormemente agradecida.
En realidad, saber quien es que me está atacando, no gano mucho, ya que cuando me entero el ataque ya está hecho. Más que bloquear esas ip no voy a lograr.....
El problema y lo que me preocupa es que según EV1 tengo un exploit dentro del server que está atacando hacia todos lados y el último aviso fue que si no lo elimino en 24 horas, me bajan el server.
Obvio, ya es la segunda vez que ocurre lo mismo en solo 4 días, pero el problema es que YO no se como eliminar el exploit porque NO LO ENCUENTRO.
Si alguien de este foro pudiera decirme como buscar un exploit y eliminarlo, le estaré enormemente agradecida.
Para evitarte problemas si tu servidor ya está comprometido te aconsejo que hagas INMEDIATAMENTE una copia de seguridad de todos tus sitios y lugo pidas un restore, ten en cuenta que el restore deja el servidor como te lo entregaron de nuevo, es decir totalmente vacio.
Despues de eso sigue con las normas de seguridad, firewal, etc.. y restaura t nuevamente tus dominios.
Otra opción es qu7e contrates a alguien para que mire tu problema, es casi imposible explicar como encontrarlo pues primero hay que saber cual es.
De momente suspende TODAS las instalaciones de PHPnuke y utiliza chkrootkit y rkhunter para ver si encuentran algo.
QUOTE (ideasmultiples)
Para evitarte problemas si tu servidor ya está comprometido te aconsejo que hagas INMEDIATAMENTE una copia de seguridad de todos tus sitios y lugo pidas un restore, ten en cuenta que el restore deja el servidor como te lo entregaron de nuevo, es decir totalmente vacio.
Despues de eso sigue con las normas de seguridad, firewal, etc.. y restaura t nuevamente tus dominios.
Otra opción es qu7e contrates a alguien para que mire tu problema, es casi imposible explicar como encontrarlo pues primero hay que saber cual es.
De momente suspende TODAS las instalaciones de PHPnuke y utiliza chkrootkit y rkhunter para ver si encuentran algo.
Despues de eso sigue con las normas de seguridad, firewal, etc.. y restaura t nuevamente tus dominios.
Otra opción es qu7e contrates a alguien para que mire tu problema, es casi imposible explicar como encontrarlo pues primero hay que saber cual es.
De momente suspende TODAS las instalaciones de PHPnuke y utiliza chkrootkit y rkhunter para ver si encuentran algo.
Lo mejor que puedes hacer es seguir a rajatabla estos consejos de IdeasMultiples.
Estimados Foristas, les doy las gracias por la ayuda que me han proporcionado, definitivamente, he tenido que comprender que aún me queda demasiado grande administrar la seguridad de un server, así que siguiendo los consejos de muchos por aquí (Ideasmultiples, Hostxtrem, etc) he contratado los servicios de TotalServerSolutions de la mano de TheUruguayan y en solo 3 minutos el problema estaba resuelto..........
Obviamente, saber es saber y no hay vuelta con eso jaja.
Me hubiera gustado poder resolverlo yo, pero no se puede con todo y hay cosas que hay que dejarlas en manos de los que realmente saben, no puedo seguir poniendo en riesgo una empresa que nos da de comer por querer hacerlo yo.
Les doy las gracias a todos por la ayuda prestada
Obviamente, saber es saber y no hay vuelta con eso jaja.
Me hubiera gustado poder resolverlo yo, pero no se puede con todo y hay cosas que hay que dejarlas en manos de los que realmente saben, no puedo seguir poniendo en riesgo una empresa que nos da de comer por querer hacerlo yo.
Les doy las gracias a todos por la ayuda prestada
Algun antivirus para los servidores linux centos?
para instalar por consola.
alguien conoce el panda?
para instalar por consola.
alguien conoce el panda?
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.