Ayuda - Alguien esta subiendo virus a mi servidor

alejoxd · #1 (**permalink**) 25/04/2008, 15:15

Hola.

Desde hace unos dias alguien está subiendo virus a varios sitios propios que tengo en un servidor dedicado Linux con Cpanel.
En el messages log encontré esto:

Cita:

Apr 20 13:35:11 srv01 pure-ftpd: ([email protected]) [INFO] New connection from 76.164.192.2
Apr 20 13:35:12 srv01 pure-ftpd: ([email protected]) [INFO] chicasjo is now logged in
Apr 20 13:35:13 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/chicasjo//public_html/My_foto.exe uploaded (255488 bytes, 278.28KB/sec)

Y asi con por lo menos 4 sitios los cuales son sitios diferentes entre si, no tienen un determinado script como para decir que me los está coloando por ahi, sino que son sitios distintos.
Por lo que se ve en el log, han entrado directamente por el FTP ?

Como primeras medidas limite a que no se puedan subir archivos por http, register_globals desactivado y safe mode activado.
Que mas deberia hacer? porque la empresa de hosting ya me desconecto 2 veces el servidor por las denuncias de los virus, ya que esta persona luego de subirmelos hace SPAM por cuenta propia y envia los enlaces de mi dominio con el virus.

WebTech · #2 (**permalink**) 26/04/2008, 11:52

Lo primero que deberías hacer es cambiar los passwords de FTP, usar combinaciones que incluyan letras (mayúsculas y minúsculas), números y símbolos como " @ # ! $ etc.

También pide a tu proveedor que banee las IPs de los atacantes, por lo visto se han conectado desde 76.164.192.2.

Adicionalmente, puede que tengas un keylogger instalado en tu computadora (un programa que loguea todo lo que escribes --incluyendo contraseñas-- y le envía dicha información al atacante cada vez que te conectas a Internet), revisa bien eso, pues por más que cambies los passwords, si es esto lo que te está sucediendo, el problema continuará.

Saludos,

alejoxd · #3 (**permalink**) 26/04/2008, 18:16

Hola. Siempre uso de antivirus el Nod32 y nunca me detecto ningun keylogger, tambien le pase el Spybot search and destroy y nada. El pass que uso es de 9 letras, incluia palabras y numeros, no creo que haya sido un pass sencillo como para que lo saquen automaticamente con algun soft.
Hoy he vuelto a chequear el messages log y otra vez han accedido a otro subdominio mio:

Cita:

Apr 26 18:36:34 srv01 pure-ftpd: ([email protected]) [INFO] New connection from 207.10.234.217
Apr 26 18:36:34 srv01 pure-ftpd: ([email protected]) [INFO] todoenlace is now logged in
Apr 26 18:36:34 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//redir.html uploaded (110 bytes, 2.51KB/sec)
Apr 26 18:36:35 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//video.exe uploaded (87552 bytes, 111.40KB/sec)
Apr 26 18:36:36 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//www/redir.html uploaded (0 bytes, 0.00KB/sec)
Apr 26 18:36:36 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//www/video.exe uploaded (0 bytes, 0.00KB/sec)

Me han subido el archivo video.exe que es un virus y otro llamado redir.html que contenia esto:

Cita:

Me tiene preocupado, no se si han encontrado algún agujero de seguridad ó han entrado sabiendo el user y el pass !! Por ahora he cambiado el pass de esos dominios , vere que pasa. Cambiarlos a todos se me va hacer un problema ya que tengo muchos. El unico que maneja ese servidor soy yo. Descartada la opcion de algun conocido que tuviera acceso al mismo.

MRB08 · #4 (**permalink**) 04/05/2008, 11:52

Si te referís al servidor de tu PC, te recomiendo que los cierres de inmediato por los puertos abiertos, o si tenes puertos abiertos en tu servidor externos, hazlo cerrar y ademas como dijo el de la primera respuesta