Foros del Web » Administración de Sistemas » Software para Servers »

Ayuda - Alguien esta subiendo virus a mi servidor

Estas en el tema de Ayuda - Alguien esta subiendo virus a mi servidor en el foro de Software para Servers en Foros del Web. Hola. Desde hace unos dias alguien está subiendo virus a varios sitios propios que tengo en un servidor dedicado Linux con Cpanel. En el messages ...
  #1 (permalink)  
Antiguo 25/04/2008, 15:15
 
Fecha de Ingreso: enero-2008
Mensajes: 14
Antigüedad: 16 años, 9 meses
Puntos: 0
Ayuda - Alguien esta subiendo virus a mi servidor

Hola.

Desde hace unos dias alguien está subiendo virus a varios sitios propios que tengo en un servidor dedicado Linux con Cpanel.
En el messages log encontré esto:
Cita:
Apr 20 13:35:11 srv01 pure-ftpd: ([email protected]) [INFO] New connection from 76.164.192.2
Apr 20 13:35:12 srv01 pure-ftpd: ([email protected]) [INFO] chicasjo is now logged in
Apr 20 13:35:13 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/chicasjo//public_html/My_foto.exe uploaded (255488 bytes, 278.28KB/sec)
Y asi con por lo menos 4 sitios los cuales son sitios diferentes entre si, no tienen un determinado script como para decir que me los está coloando por ahi, sino que son sitios distintos.
Por lo que se ve en el log, han entrado directamente por el FTP ?

Como primeras medidas limite a que no se puedan subir archivos por http, register_globals desactivado y safe mode activado.
Que mas deberia hacer? porque la empresa de hosting ya me desconecto 2 veces el servidor por las denuncias de los virus, ya que esta persona luego de subirmelos hace SPAM por cuenta propia y envia los enlaces de mi dominio con el virus.

Última edición por alejoxd; 25/04/2008 a las 15:44
  #2 (permalink)  
Antiguo 26/04/2008, 11:52
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años
Puntos: 162
Re: Ayuda - Alguien esta subiendo virus a mi servidor

Lo primero que deberías hacer es cambiar los passwords de FTP, usar combinaciones que incluyan letras (mayúsculas y minúsculas), números y símbolos como " @ # ! $ etc.

También pide a tu proveedor que banee las IPs de los atacantes, por lo visto se han conectado desde 76.164.192.2.

Adicionalmente, puede que tengas un keylogger instalado en tu computadora (un programa que loguea todo lo que escribes --incluyendo contraseñas-- y le envía dicha información al atacante cada vez que te conectas a Internet), revisa bien eso, pues por más que cambies los passwords, si es esto lo que te está sucediendo, el problema continuará.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #3 (permalink)  
Antiguo 26/04/2008, 18:16
 
Fecha de Ingreso: enero-2008
Mensajes: 14
Antigüedad: 16 años, 9 meses
Puntos: 0
Re: Ayuda - Alguien esta subiendo virus a mi servidor

Hola. Siempre uso de antivirus el Nod32 y nunca me detecto ningun keylogger, tambien le pase el Spybot search and destroy y nada. El pass que uso es de 9 letras, incluia palabras y numeros, no creo que haya sido un pass sencillo como para que lo saquen automaticamente con algun soft.
Hoy he vuelto a chequear el messages log y otra vez han accedido a otro subdominio mio:
Cita:
Apr 26 18:36:34 srv01 pure-ftpd: ([email protected]) [INFO] New connection from 207.10.234.217
Apr 26 18:36:34 srv01 pure-ftpd: ([email protected]) [INFO] todoenlace is now logged in
Apr 26 18:36:34 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//redir.html uploaded (110 bytes, 2.51KB/sec)
Apr 26 18:36:35 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//video.exe uploaded (87552 bytes, 111.40KB/sec)
Apr 26 18:36:36 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//www/redir.html uploaded (0 bytes, 0.00KB/sec)
Apr 26 18:36:36 srv01 pure-ftpd: ([email protected]) [NOTICE] /home/todoenlace//www/video.exe uploaded (0 bytes, 0.00KB/sec)
Me han subido el archivo video.exe que es un virus y otro llamado redir.html que contenia esto:
Cita:
<html>
<head>
<META http-equiv="refresh" content="0;URL=http://sugaronly.com/">
</head>
<body>
</body>
</html>
Me tiene preocupado, no se si han encontrado algún agujero de seguridad ó han entrado sabiendo el user y el pass !! Por ahora he cambiado el pass de esos dominios , vere que pasa. Cambiarlos a todos se me va hacer un problema ya que tengo muchos. El unico que maneja ese servidor soy yo. Descartada la opcion de algun conocido que tuviera acceso al mismo.
  #4 (permalink)  
Antiguo 04/05/2008, 11:52
(Desactivado)
 
Fecha de Ingreso: febrero-2008
Ubicación: Argentina, Santa Fe, Rosario
Mensajes: 350
Antigüedad: 16 años, 8 meses
Puntos: 5
Exclamación Re: Ayuda - Alguien esta subiendo virus a mi servidor

Si te referís al servidor de tu PC, te recomiendo que los cierres de inmediato por los puertos abiertos, o si tenes puertos abiertos en tu servidor externos, hazlo cerrar y ademas como dijo el de la primera respuesta
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 18:11.