Mira los logs del servidor web buscando los post. plantearte pasar un
escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las
escuchas de los puertos usa chrootkit y rkhunter así como grep en www
buscando base64 y cosas así. Primero localiza por donde entraron y hasta
donde lleg
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
> Muchas gracias.
>
> NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
> yo no he instalado PHP SHELL
> la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes
instalado par
Hola! Yo uso proxmox hace ya 4 o 5 años, la verdad maduro moucho, hoy en
dia lo tengo en una farm de 5 servidorss fisicos con 40 vm en cluster, los
discos de las vms estan en un nas, y la verdad es genial, damos servicios a
mas de 1000 pc en una red mixta, fibra, wifi, conbre. Si necesitan mas dat
> 4. A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH
por completo? Y como accedes a tu servidor? A no ser que este servidor
este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra co
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
yo no he instalado PHP SHELL
la opción "JAIL SHELL" también la tengo inhabilitada
Ah!, el host atacante dió hizo conexión a MI PUERTO 22 desde SU PUERTO 44021 ?
Al correr el comando
egrep -Ri IPx /var/log/*
obtengo los
Sorry el top posting
Varias cosas que me llaman la atencion en tu email (algunas ya mencionadas)
1- por que tener la extension ssh en php ? Si lo la instalaste tu entonces
quizas eso fue lo primero que hicieron despues de encontrar un hueco en alguna
otra instalacion php que tengas. Si lo insta
> root@http [~]# egrep -Ri IPx /var/log/*
> /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-p8-Hs <=
> root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
> for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
> glupi...@gmail.com
> /var/log/lfd.log:Dec 29 08:49:
El archivo
/home/userz/.bash_history
NO existe
fué el primero que busqué
pero deconozco cómo obtener TODA acción realizada por IPx
sin embargo con
egrep -Ri IPx /var/log/*
creo que ya tengo "TODO"
o puede el hacker haber borrado el LOG ?
GRACIAS !
El 29/12/13, Gabriel Pinares escribió:
> Aprec
Apreciados: MUCHAS GRACIAS.
Yo he creado a "userZ"
userZ ha cambiaod la clave por una que desconozco.
el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta
lísta de CentOs
la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de CentOs
no estoy seguro, pero CREO que
On 12/29/2013 5:39 PM, "Ernesto Pérez Estévez, Ing." wrote:
>> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
>> history por si el hacker ha sido tan descuidado que no ha borrado el
>> historico de comandos.
> no, no su -... mejor less /home/userz/.bash_history verle sin meterse
> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
> history por si el hacker ha sido tan descuidado que no ha borrado el
> historico de comandos.
no, no su -... mejor less /home/userz/.bash_history verle sin meterse en
el perfil del usuario.. así queda menos riesgosa la cosa.
On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
> On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
>> Hola.
>>
>> Desde x IP se han logrado colar utilizando SHELL.
> primero que todo, relax... apagando o reinstalando no resolverás nada..
> así que es PERFECTO que estés tratando de averigu
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
> Hola.
>
> Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada..
así que es PERFECTO que estés tratando de averiguar cómo, para que
puedas solucionar el hueco... excelente.
> - -
Hola.
Desde x IP se han logrado colar utilizando SHELL.
Al revisar el archivo
/var/log/secure
encuentro:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
port 44021 ssh2
Dec 29 08:49:35
On 12/29/2013 10:57 AM, cheperobert wrote:
> El día 28 de diciembre de 2013, 11:14, Choique escribió:
>> Da pena leer sobre compra de licencias en un canal de centos
>
> Relmente si.
>
> Lo peor que han recomendado varios de SL y esta intentando con el que
> tiene licencia. :/
Concuerdo con ust
On 12/29/2013 06:46 AM, Alberto Crego wrote:
> La primera duda que tengo es que diferencias existen entre "Proxmox" y
> OVirt?
Particularmente yo no les conozco, uso KVM y/o Xen en strike, en
directo. Estos proxmos, ovirt son interfaces que a la final pueden o no
facilitarte la vida con estos sist
El día 28 de diciembre de 2013, 11:14, Choique escribió:
> Da pena leer sobre compra de licencias en un canal de centos
Relmente si.
Lo peor que han recomendado varios de SL y esta intentando con el que
tiene licencia. :/
> El dic 28, 2013 2:13 PM, "Raul Arboleda" escribió:
>
>> Esa licencia l
Buenos días,
Despues de leer una "gran" discusión sobre virtualización tengo un par de
dudas, digamos que en el tema de virtualización estoy un poco verde, los
server que tengo son "fisicos", pero me da que voy a tener que meterme en
el tema de la virtualización.
La primera duda que tengo es que di
18 matches
Mail list logo