13/01/2009, 18:21
| ||||
| ||||
| Server hackeado saludos, el caso es el siguiente, tengo un dedicado donde tengo 170 web de tamaño regular, y desde ya 1 mes empece a encontrar script maliciosos en algunas cuentas, pasa que hackearon el server, y el script q subio el hack le permitia ver los username de todo mi server y subir los archivos que quiera a donde quiera sin tener passwords, es asi que empezo a jugar conmigo, esta ultima semana me tiene en jaque, ya que encuentro sus scripts dispersos en cualquier cuenta de mis clientes, es mas sube no solo el mismo script para subir data y ver los username de mi server, sino sube script para mandar mails masivos y lo hace y lo peor estos mails son para otros links q el mismo sube en otra parte d mi server pero que son phishing, y mi datacenter me notifica esto, elimino la carpeta, se soluciona el problema pero temporalmente, pues se que volvera a hacerlo y asi es q cada dos dias sucede lo mismo, mi datacenter me ofrecer pagar por servicios avanzados q me sale carisimo, aunq estoy pensando pagarlo, porq me preocupa, quisiera apelar a los conocedores, se que les paso alguna vez, y que ideas o que podria hacer para encontrar todos los scripts maliciosos que tiene el hack repartidos en varias partes d este server, gracias d antemano, mi server es centos enterprice, uso WHM/CPanel, tengo instalado un Firewall (csf v4.33) |
|
13/01/2009, 18:46
| |||
| |||
| Respuesta: Server hackeado Detiene los servicios de tu servidor... Y pidele ayuda a tu datacenter que te actualicen el software y eliminen todos los script maliciosos... Porque mientras esté activo será dificil que pares el ataque. |
|
13/01/2009, 18:53
| ||||
| ||||
| Respuesta: Server hackeado gracias por tu respuesta, pero primero que nada son 170 webs maso, osea no es poca data, no puedo detenerlo y revisarlo en 10, 15 minutos, esto demorara, que contrate los servicios de el datacenter es lo q pienso pero es un forro de plata y mas que eso me gustaria saber si hay algun manera de que yo mismo encuentre esos scripts |
|
13/01/2009, 20:22
| ||||
| ||||
| Respuesta: Server hackeado Y como piensas entonces solucionar el problema?, no puedes jugar con los datos de los clientes, crea un backup y luego contrata a emprea que te haga el trabajo. |
|
13/01/2009, 21:35
| |||
| |||
| Respuesta: Server hackeado Personalmente, es un tema por demás delicado y que requiere una análisis exhaustivo de la situación. Desde los scripts hasta una revisión general del servidor. Realmente lamento decirte que este contexto de un foro me supera ampliamente para poder ayudarte, ya que hay limitaciones desde lo técnico hasta lo privado de la información de tu equipo que necesitaría conocer como para empezar a dilucidar el tema. Te recomendaría contratar ayuda externa, sea de tu propio proveedor o de algún otro que preste este tipo de servicios. Desde ya no dejes de contar como va. Saludos!  |
|
14/01/2009, 01:01
| ||||
| ||||
| Respuesta: Server hackeado Hola Peruclic. Seguramente te hayan subida alguna shell que se maneje por php. Revisa los sitios que permitan subir archivos, mejor, revisalos todos. Si sabes que archivo te ha subido el tio, intenta buscar en los logs quien accede a esos archivos. Si registras en tu servidor quien sube que, busca la ip de quien subio esos scripts, buscala en los logs de apache y ahi deberá aparecer la shell que el tio está utilizando. Si guardas logs bastante antiguos, con suerte, podras determinar en que virtualhost lo subio por primera vez, asi determinas el vulnerable. Otra cosa, activa el "secure_mode" del php, esto evitará que el tio se pasee por tu servidor a su antojo. Si después de un mes la cosa sigue así, me da a mi que no ha llegado a mayores y el servidor es recuperable (no así las webs). Por otro lado, si el servidor esta haciendo spam y ademas se usa para phishing, tienes muchas posibilidades de estar en listas negras y de que el hosting se vea obligado por requerimientos legales a apagartelo (yo lo haria). Sino sabes mirar los logs o apañartelas para evitar que vuelva a entrar, apaga el servidor o contrata a alguien que sepa. Saludos.
__________________ Artigoo: Gestor de contenido online. |
|
14/01/2009, 07:17
| |||
| |||
| Respuesta: Server hackeado No es relevante para tu problemática, pero estas son las cosas que ocurre cuando cualquiera da hosting sin tener antes ciertos conocimientos. Si no tienes conocimientos, deberás pagar a alguien que los tenga. Solo es cuestión de tiempo que hackeen el servidor completo y pierdas todos los datos.
__________________ Existen dos tipos de gente: los creyentes que no creen, y los que creen que son creyentes... |
|
14/01/2009, 08:24
| ||||
| ||||
| Respuesta: Server hackeado gracias sysdebian, se que el tema es delicado, recien veo que me pasa esto en esta ultima semana, ademas se de otros servidores que tienen este tipo de problemas, y como dices el problema es un shell q al subirlo puede cargar los archivos donde el quiera, me ayudara las opciones que me das para mejorar la seguridad de el server, reconoci los script q tiene y tengo q ver los logs, saludos |
|
15/01/2009, 10:03
| ||||
| ||||
| Respuesta: Server hackeado hola PeruClic, lamento lo que te pasa y espero que encuentres una pronta solución a tu problema, es lamentable que la gente que no tiene nada que hacer utilize sus conocimientos para destruir o perjudicar, es muy probable que lo que te pase sea algo personal un hacker solo entraria y demostraria que estubo y alli quedo todo pero en tu caso va mas alla asi que tu problema ya es personal posiblemente alguien resentido contigo o con tu empresa, si en algo te puedo ayudar enviame un msj privado con tu direccion msn para agregarte y ver que solucion darle. Saludos |
|
15/01/2009, 15:26
| ||||
| ||||
| Respuesta: Server hackeado gracias amigo, por ahora todo bien, cerre puertos, bloque IP's, uso sistemas para evitar atques ddos, todo bajo software, la verdad hasta ahora ya no reporte ningun otro problema, tuve que buscar manualmente los scripts y los encontre, espero que sean todos, y referente a quien sera, pues es alguien q sabe y que siempre debe hacerlo, son gente de europa por lo que veo, por la base de mails q tiene y por las paginas que uso en phishing, cualquier cosa la prondre para una ayuda adicional, saludos |
|
17/01/2009, 09:40
| |||
| |||
| Respuesta: Server hackeado Asi como dice el amigo "ProdigPERU" , es muy lamentable este tipo de acciones , te voy enviar un email privado, para ponernos en contaco e intercambiar experiencias, y apoyarnos en temas como estas. Estamos para darnos la mano. |
|
18/01/2009, 10:18
| |||
| |||
| Respuesta: Server hackeado Hola, Te tocará revisar el código de tus páginas una a una. Posteriormente no tendrás más remedio que cambiar todas las contraseñas FTP de las cuentas. Además, sería conveniente que cerraras mediante un cortafuegos puertos como el de MySQL. Antes de todo esto, asegúrate de que tu ordenador local no e encuentra infectado. Generalmente los problemas vienen de un problema local; plantéate formatear y como mínimo pasar diversos sistemas antispyware, antivirus y demás. Es mucho trabajo, pero no tienes otra opción. Saludos. |
|
18/01/2009, 10:19
| |||
| |||
| Respuesta: Server hackeado Lo olvidaba, una vez hayas hecho todo esto contrata un servicio de administración. Te costará dinero, pero merece la pena. Imagino que en este foro podrán recomendarte varios. |
