27/05/2002, 03:32
| |||
| |||
| Se me han colado en mi servidor Hola a todos, necesito ayuda, algun hacker se me ha colado y me ha creado carpetas en mi servidor (lo usa como FTP), no puedo borrar esas carpetas. Tengo un W2000 Avanced Server con IIS y el ZoneAlarm, he instalado los ultimos parches, y ha vuelto a entrar. Necesitaria ayuda para borrar esas carpetas y evitar que vuelvan a entrar. Gracias a todos |
|
27/05/2002, 04:23
| ||||
| ||||
| Re: Se me han colado en mi servidor Bueno, vamos a ver algunas cosas. Muy mal configurado tienes que tener tu W2K para que te hayan hecho eso. Es que estás como Administrador siempre ?... Como sabes que lo usan como FTP. Que carpetas son ?. tienes registrada la IP en tus logs, algunas cadenas extrañas, etc, cadenas que tienen un tal cmd.exe, ?. Como configuraste IIS ?. Tienes un Servidor W2K Avanced Server dando servicio a clientes y usas Zone Alarm ???. Que le pasa a tu servidor ? Una de las cosas más importantes para administrar un sistema es conocerlo. conocerlo a la perpección. Sólo así verás si hay procesos extraños o compotamientos fuera de lo nornal. Entonces te digo: no ves algo extraño en el comoportamiento de tu servidor ???. Mira haz una cosa, haz un escanero de puertos en tu servidor y verás como hay un puerto alto sobre 5800 ofreciendo un servicio que seguramente tú no ofreces... o sí. Esa es la razón de tu "servidor FTP" controlado por extraños. A veces ocurre que nos ataques no siempre vienen de a fuera. alguien puede abrir un servicio físicamente en el servidor. También su puede abrir remotamente mediante un troyano u otros tucos. Más pistas ?. Un saludo, |
|
28/05/2002, 04:37
| |||
| |||
| Re: Se me han colado en mi servidor Gracias por responder Alfon, bueno parece que ya no han vuelto ha entrar, parece ser que la configuracion que tenia puesta del ftp admitia acceso anonimo (ya vamos aprendiendo algo). Pero sigo sin poder borrar dos carpetas, una no tiene nombre y la otra pone Tagged By Magic, dentro de esas carpetas me pusieron programas o musica, que si he podido borrar. Tengo derechos del Administrador en el servidor. Bueno si alguien sabe como borrarlas le estaria muy agradecido. |
|
28/05/2002, 05:28
| ||||
| ||||
| Re: Se me han colado en mi servidor Es que tenias la configuración de IIS.... Mira el puerto 5800. Ahí tienes un hermoso programa por el cual podrán acceder a la máquina cuando quieran. No se si lo instalasteis ustedes pero me da que no. Mira también los procesos. Un saludo, |
|
28/05/2002, 14:53
| |||
| |||
| Re: Se me han colado en mi servidor Gracias Alfon, he probado scanear el puerto que me has dicho, y es verdad, parece ser que está abierto, si sabes la forma de cerrarlo me gustaria que me la explicases, me gustaria poder darte la ip del servidor, pero creo que el foro hay muchos amigos que les gustaria probar cosas por ese agujero. Te dejo mi e-mail por si te quieres poner en contacto conmigo [email protected] |
|
29/05/2002, 02:35
| ||||
| ||||
| Re: Se me han colado en mi servidor Si, lo sabía. El problema está en que el tráfico VNC va en texto plano, sin encriptación, y cualquiera que intercepte una sesión de validación tuya, tendrá un login + pwd válidos para entrar en tu máquina. Otras soluciones son meter el tráfico VNC dentro de un túnel SSH, o usar PcAnywhere, que sí se puede forzar para que utilice un mínimo nivel de encriptación. Tambíén ocurre que puede forzar la contraseña de VNC mediante "fuerza bruta" ya que utiliza un campo de 8 caracteres para lps pass. Yo uso VNC pero dentro de la LAN para controlar los servidores, pero fuera no. Un saludo, |
|
29/05/2002, 02:40
| ||||
| ||||
| Re: Se me han colado en mi servidor Hay gente que usa un tal "Secure-VNC". Buscando encontré algunas cosillas que te paso por si te interesa para que lo estudies. Secure-VNC: http://evilsecurity.com/vnc/default.htm Usando VNC con SSH: http://www.uk.research.att.com/vnc/sshvnc.html Ya me conytarás. Un saludo, |
