Foros del Web » Administración de Sistemas » Cloud Computing »

Mi server ataca a otro.

Estas en el tema de Mi server ataca a otro. en el foro de Cloud Computing en Foros del Web. Buenas, he recibido un mail de otro servidor diciendo que mi servidor esta atacando al suyo y me copia su log: > Apr 7 13:33:41 ...
  #1 (permalink)  
Antiguo 07/04/2011, 06:47
 
Fecha de Ingreso: diciembre-2006
Mensajes: 173
Antigüedad: 18 años
Puntos: 2
Mi server ataca a otro.

Buenas,

he recibido un mail de otro servidor diciendo que mi servidor esta atacando al suyo y me copia su log:
> Apr 7 13:33:41 whitie sshd[12822]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12825]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12829]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12824]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12823]: Did not receive identification string from X.X.X.X

donde X.X.X.X es la ip de mi servidor.

Como es posible que este pasando esto? puede que tenga un scritp en mi servidor que este haciendo eso??

Hay algun script para check el servidor en busca de fallos y demas? mi servidor es Centos.

** He llegado a la conclusion que han hakeado mi server y esta atacando a otros con fuerza bruta, me recomendais algun script que checkee los fallos de mi servidor para arreglarlo??


Saludos.

Última edición por userman; 07/04/2011 a las 07:14
  #2 (permalink)  
Antiguo 08/04/2011, 09:01
Avatar de Datacenter1
Usuario no validado
 
Fecha de Ingreso: agosto-2005
Ubicación: Chicago
Mensajes: 1.982
Antigüedad: 19 años, 4 meses
Puntos: 144
Respuesta: Mi server ataca a otro.

No existe una forma fácil de "limpiar" un servidor comprometido, lo recomendable es formatear el servidor y recuperar la data desde backups limpios

El atacante puedo haber alterado archivos del sistema y será muy difícil (si no usas herramientas de auditoria) determinar exactamente que fue modificado

Como medida inmediata deberías bloquear las conexiones salientes (puertos 22, 23, etc) para evitar seguir atacando a terceros y plantearte una rápida restauración del sistema.
  #3 (permalink)  
Antiguo 11/04/2011, 07:52
 
Fecha de Ingreso: diciembre-2006
Mensajes: 173
Antigüedad: 18 años
Puntos: 2
Respuesta: Mi server ataca a otro.

Gracias por la respuesta datacenter1, como siempre estas al pie del cañon :)

Ya he averiguado el problema y he tomado medidas, la duda que me queda es si ha podido modificar ficheros del sistema o algo... porque reinstalar todo el sistema de nuevo es una paliza con todas las webs que tengo instalada y su configuracion...

Esperare a ver si hay algun movimiento raro o me ataquen de nuevo..

Saludos!
  #4 (permalink)  
Antiguo 11/04/2011, 09:41
Avatar de Datacenter1
Usuario no validado
 
Fecha de Ingreso: agosto-2005
Ubicación: Chicago
Mensajes: 1.982
Antigüedad: 19 años, 4 meses
Puntos: 144
Respuesta: Mi server ataca a otro.

Cita:
Iniciado por userman Ver Mensaje
Gracias por la respuesta datacenter1, como siempre estas al pie del cañon :)

Ya he averiguado el problema y he tomado medidas, la duda que me queda es si ha podido modificar ficheros del sistema o algo... porque reinstalar todo el sistema de nuevo es una paliza con todas las webs que tengo instalada y su configuracion...

Esperare a ver si hay algun movimiento raro o me ataquen de nuevo..

Saludos!
Te sugiero instalar CSF es un firewall bastante completo que además dispone de algunas opciones de auditoría, si es en un servidor cPanel, incluye ademas una interfaz desde WHM, pero si no tienes cPanel igual funcionará vía consola

Etiquetas: server, servidores-dedicados-vps-y-colocación
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:46.