Foros del Web » Administración de Sistemas » Cloud Computing »

Server hackeado

Estas en el tema de Server hackeado en el foro de Cloud Computing en Foros del Web. saludos, el caso es el siguiente, tengo un dedicado donde tengo 170 web de tamaño regular, y desde ya 1 mes empece a encontrar script ...
  #1 (permalink)  
Antiguo 13/01/2009, 18:21
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 5 meses
Puntos: 7
Server hackeado

saludos, el caso es el siguiente, tengo un dedicado donde tengo 170 web de tamaño regular, y desde ya 1 mes empece a encontrar script maliciosos en algunas cuentas, pasa que hackearon el server, y el script q subio el hack le permitia ver los username de todo mi server y subir los archivos que quiera a donde quiera sin tener passwords, es asi que empezo a jugar conmigo, esta ultima semana me tiene en jaque, ya que encuentro sus scripts dispersos en cualquier cuenta de mis clientes, es mas sube no solo el mismo script para subir data y ver los username de mi server, sino sube script para mandar mails masivos y lo hace y lo peor estos mails son para otros links q el mismo sube en otra parte d mi server pero que son phishing, y mi datacenter me notifica esto, elimino la carpeta, se soluciona el problema pero temporalmente, pues se que volvera a hacerlo y asi es q cada dos dias sucede lo mismo, mi datacenter me ofrecer pagar por servicios avanzados q me sale carisimo, aunq estoy pensando pagarlo, porq me preocupa, quisiera apelar a los conocedores, se que les paso alguna vez, y que ideas o que podria hacer para encontrar todos los scripts maliciosos que tiene el hack repartidos en varias partes d este server, gracias d antemano, mi server es centos enterprice, uso WHM/CPanel, tengo instalado un Firewall (csf v4.33)
  #2 (permalink)  
Antiguo 13/01/2009, 18:46
 
Fecha de Ingreso: diciembre-2008
Ubicación: localhost
Mensajes: 232
Antigüedad: 16 años
Puntos: 3
Respuesta: Server hackeado

Detiene los servicios de tu servidor... Y pidele ayuda a tu datacenter que te actualicen el software y eliminen todos los script maliciosos... Porque mientras esté activo será dificil que pares el ataque.
  #3 (permalink)  
Antiguo 13/01/2009, 18:53
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 5 meses
Puntos: 7
Respuesta: Server hackeado

gracias por tu respuesta, pero primero que nada son 170 webs maso, osea no es poca data, no puedo detenerlo y revisarlo en 10, 15 minutos, esto demorara, que contrate los servicios de el datacenter es lo q pienso pero es un forro de plata y mas que eso me gustaria saber si hay algun manera de que yo mismo encuentre esos scripts
  #4 (permalink)  
Antiguo 13/01/2009, 20:22
Avatar de Valery-Net  
Fecha de Ingreso: agosto-2008
Mensajes: 694
Antigüedad: 16 años, 3 meses
Puntos: 12
Respuesta: Server hackeado

Y como piensas entonces solucionar el problema?, no puedes jugar con los datos de los clientes, crea un backup y luego contrata a emprea que te haga el trabajo.
  #5 (permalink)  
Antiguo 13/01/2009, 21:35
 
Fecha de Ingreso: diciembre-2008
Ubicación: Ciudad Autónoma de Buenos Aires, Argentina
Mensajes: 72
Antigüedad: 16 años
Puntos: 1
Respuesta: Server hackeado

Personalmente, es un tema por demás delicado y que requiere una análisis exhaustivo de la situación. Desde los scripts hasta una revisión general del servidor.

Realmente lamento decirte que este contexto de un foro me supera ampliamente para poder ayudarte, ya que hay limitaciones desde lo técnico hasta lo privado de la información de tu equipo que necesitaría conocer como para empezar a dilucidar el tema.

Te recomendaría contratar ayuda externa, sea de tu propio proveedor o de algún otro que preste este tipo de servicios.

Desde ya no dejes de contar como va.


Saludos!
  #6 (permalink)  
Antiguo 14/01/2009, 01:01
Avatar de sysdebian  
Fecha de Ingreso: octubre-2008
Mensajes: 196
Antigüedad: 16 años, 2 meses
Puntos: 8
Respuesta: Server hackeado

Hola Peruclic.
Seguramente te hayan subida alguna shell que se maneje por php. Revisa los sitios que permitan subir archivos, mejor, revisalos todos.

Si sabes que archivo te ha subido el tio, intenta buscar en los logs quien accede a esos archivos. Si registras en tu servidor quien sube que, busca la ip de quien subio esos scripts, buscala en los logs de apache y ahi deberá aparecer la shell que el tio está utilizando. Si guardas logs bastante antiguos, con suerte, podras determinar en que virtualhost lo subio por primera vez, asi determinas el vulnerable.

Otra cosa, activa el "secure_mode" del php, esto evitará que el tio se pasee por tu servidor a su antojo.

Si después de un mes la cosa sigue así, me da a mi que no ha llegado a mayores y el servidor es recuperable (no así las webs).

Por otro lado, si el servidor esta haciendo spam y ademas se usa para phishing, tienes muchas posibilidades de estar en listas negras y de que el hosting se vea obligado por requerimientos legales a apagartelo (yo lo haria).
Sino sabes mirar los logs o apañartelas para evitar que vuelva a entrar, apaga el servidor o contrata a alguien que sepa.

Saludos.
__________________
Artigoo: Gestor de contenido online.
  #7 (permalink)  
Antiguo 14/01/2009, 07:17
 
Fecha de Ingreso: marzo-2003
Mensajes: 114
Antigüedad: 21 años, 9 meses
Puntos: 0
Respuesta: Server hackeado

No es relevante para tu problemática, pero estas son las cosas que ocurre cuando cualquiera da hosting sin tener antes ciertos conocimientos.

Si no tienes conocimientos, deberás pagar a alguien que los tenga. Solo es cuestión de tiempo que hackeen el servidor completo y pierdas todos los datos.
__________________
Existen dos tipos de gente: los creyentes que no creen, y los que creen que son creyentes...
  #8 (permalink)  
Antiguo 14/01/2009, 08:24
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 5 meses
Puntos: 7
Respuesta: Server hackeado

gracias sysdebian, se que el tema es delicado, recien veo que me pasa esto en esta ultima semana, ademas se de otros servidores que tienen este tipo de problemas, y como dices el problema es un shell q al subirlo puede cargar los archivos donde el quiera, me ayudara las opciones que me das para mejorar la seguridad de el server, reconoci los script q tiene y tengo q ver los logs, saludos
  #9 (permalink)  
Antiguo 15/01/2009, 10:03
Avatar de ProdigPERU  
Fecha de Ingreso: enero-2007
Ubicación: Lima
Mensajes: 105
Antigüedad: 17 años, 11 meses
Puntos: 1
Respuesta: Server hackeado

hola PeruClic, lamento lo que te pasa y espero que encuentres una pronta solución a tu problema, es lamentable que la gente que no tiene nada que hacer utilize sus conocimientos para destruir o perjudicar, es muy probable que lo que te pase sea algo personal un hacker solo entraria y demostraria que estubo y alli quedo todo pero en tu caso va mas alla asi que tu problema ya es personal posiblemente alguien resentido contigo o con tu empresa, si en algo te puedo ayudar enviame un msj privado con tu direccion msn para agregarte y ver que solucion darle.

Saludos
__________________
www.prodigperu.com Web Hosting & Diseño de Páginas Web.
  #10 (permalink)  
Antiguo 15/01/2009, 15:26
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 5 meses
Puntos: 7
Respuesta: Server hackeado

gracias amigo, por ahora todo bien, cerre puertos, bloque IP's, uso sistemas para evitar atques ddos, todo bajo software, la verdad hasta ahora ya no reporte ningun otro problema, tuve que buscar manualmente los scripts y los encontre, espero que sean todos, y referente a quien sera, pues es alguien q sabe y que siempre debe hacerlo, son gente de europa por lo que veo, por la base de mails q tiene y por las paginas que uso en phishing, cualquier cosa la prondre para una ayuda adicional, saludos
  #11 (permalink)  
Antiguo 17/01/2009, 09:40
 
Fecha de Ingreso: julio-2007
Mensajes: 415
Antigüedad: 17 años, 5 meses
Puntos: 19
Respuesta: Server hackeado

Asi como dice el amigo "ProdigPERU" , es muy lamentable este tipo de acciones , te voy enviar un email privado, para ponernos en contaco e intercambiar experiencias, y apoyarnos en temas como estas. Estamos para darnos la mano.
__________________
Micro e-business
Dominio & Hosting & Server Dedicados
  #12 (permalink)  
Antiguo 17/01/2009, 19:22
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 5 meses
Puntos: 7
Respuesta: Server hackeado

chevere, un gustazo
  #13 (permalink)  
Antiguo 18/01/2009, 10:18
AoW
 
Fecha de Ingreso: octubre-2008
Ubicación: Barcelona, España
Mensajes: 99
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Server hackeado

Hola,
Te tocará revisar el código de tus páginas una a una.
Posteriormente no tendrás más remedio que cambiar todas las contraseñas FTP de las cuentas.
Además, sería conveniente que cerraras mediante un cortafuegos puertos como el de MySQL.
Antes de todo esto, asegúrate de que tu ordenador local no e encuentra infectado. Generalmente los problemas vienen de un problema local; plantéate formatear y como mínimo pasar diversos sistemas antispyware, antivirus y demás.
Es mucho trabajo, pero no tienes otra opción.
Saludos.
__________________
AoW.es - HostXtrem
- Servidores dedicados
- Servidor dedicado personalizado
  #14 (permalink)  
Antiguo 18/01/2009, 10:19
AoW
 
Fecha de Ingreso: octubre-2008
Ubicación: Barcelona, España
Mensajes: 99
Antigüedad: 16 años, 2 meses
Puntos: 0
Respuesta: Server hackeado

Lo olvidaba, una vez hayas hecho todo esto contrata un servicio de administración. Te costará dinero, pero merece la pena. Imagino que en este foro podrán recomendarte varios.
__________________
AoW.es - HostXtrem
- Servidores dedicados
- Servidor dedicado personalizado
  #15 (permalink)  
Antiguo 18/01/2009, 14:10
Avatar de PeruClic  
Fecha de Ingreso: junio-2007
Ubicación: Arequipa, Peru
Mensajes: 533
Antigüedad: 17 años, 5 meses
Puntos: 7
Respuesta: Server hackeado

eso mismo hicimos, gracias por la ayuda
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 19:31.