Adicional a todo lo que han mencionado podrias colocar dentro del archivo
.bash_profile una alerta cuando alguien entra como root el sistema te enviara
un email de forma inmediata
--
Saludos
César Martinez Mora
Ingeniero de Sistemas
Servicom
Enviado desde mi mobile Samsung galaxy
jean paul ces
he leido muchos correos quisiera dejar algunos tips para que no
pierdan el camino.
1.- nunca volverse loco por algo asi, mientras mas aprendan mas
paranoicos seran es mejor aprender a controlar eso desde ya.
2.- siempre que instalen un server deben firmar los archivos con
tripware o aide,
On 12/30/2013 03:09 PM, David González Romero wrote:
> Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial.
> De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto
> cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y
> reiniciar.
>
otra
Exacto no por defecto. Y sobre todo si puedes explotar sudo sería genial.
De igual forma yo ni de juego dejo un SSH por puerto 22. Y cambio el puerto
cada 3 meses, para evitar jodederas. Todo solo lleva 2 min cambiar y
reiniciar.
Saludos,
David
El 30 de diciembre de 2013, 17:05, "Ernesto Pérez E
On 12/29/2013 12:24 PM, Miguel González wrote:
>
>> 4. A menos que lo necesites. Desabilita ssh desde el mismo server
>
> No he entendido bien que quieres decir, deshabilitar el servicio de SSH
> por completo? Y como accedes a tu servidor? A no ser que este servidor
> este en tu DMZ, entonces
On 12/29/2013 12:24 PM, Gabriel Pinares wrote:
> Al correr el comando
> egrep -Ri IPx /var/log/*
> obtengo los LOG de ODAS las aciones realizadas por IPx en mi sistema ?
posiblemente sí
--
Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentO
On 12/29/2013 11:58 AM, Gabriel Pinares wrote:
> El archivo
>
> /home/userz/.bash_history
>
> NO existe
> fué el primero que busqué
> pero deconozco cómo obtener TODA acción realizada por IPx
> sin embargo con
> egrep -Ri IPx /var/log/*
> creo que ya tengo "TODO"
> o puede el hacker haber borrado
On 12/29/2013 11:56 AM, Gabriel Pinares wrote:
> Luego,
> éste atacante debería haberse conectado al 22
> no al 44021
ese es el puerto de origen, no el de destino
--
Ernesto Pérez
+593 9 9924 6504
___
CentOS-es mailing list
CentOS-es@centos.org
http://
Apreciados MUCHAS GRACIAS POR DARME ESA MANO AYUDA.
No conocía este grupo hasta AYER que me han dado estas palmadas...
Gracias!
El 30/12/13, David González Romero escribió:
> Una breve cosilla yo en los SSH tengo esto:
>
>
> Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación
> Lis
Una breve cosilla yo en los SSH tengo esto:
Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación
ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la
interface de la red
Protocol 2
PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH
#StrictModes yes
#MaxAut
El 29 de diciembre de 2013, 19:01, kamal majaiti
escribió:
> Mira los logs del servidor web buscando los post. plantearte pasar un
> escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las
> escuchas de los puertos usa chrootkit y rkhunter así como grep en www
> buscando base64
Mira los logs del servidor web buscando los post. plantearte pasar un
escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa las
escuchas de los puertos usa chrootkit y rkhunter así como grep en www
buscando base64 y cosas así. Primero localiza por donde entraron y hasta
donde lleg
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
> Muchas gracias.
>
> NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
> yo no he instalado PHP SHELL
> la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes
instalado par
> 4. A menos que lo necesites. Desabilita ssh desde el mismo server
No he entendido bien que quieres decir, deshabilitar el servicio de SSH
por completo? Y como accedes a tu servidor? A no ser que este servidor
este en tu DMZ, entonces si que deshabilitaría el acceso SSH desde fuera.
Otra co
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root)
yo no he instalado PHP SHELL
la opción "JAIL SHELL" también la tengo inhabilitada
Ah!, el host atacante dió hizo conexión a MI PUERTO 22 desde SU PUERTO 44021 ?
Al correr el comando
egrep -Ri IPx /var/log/*
obtengo los
Sorry el top posting
Varias cosas que me llaman la atencion en tu email (algunas ya mencionadas)
1- por que tener la extension ssh en php ? Si lo la instalaste tu entonces
quizas eso fue lo primero que hicieron despues de encontrar un hueco en alguna
otra instalacion php que tengas. Si lo insta
> root@http [~]# egrep -Ri IPx /var/log/*
> /var/log/exim_mainlog:2013-12-29 08:49:39 1VxGkN-p8-Hs <=
> root@miserver U=root P=local S=583 T="lfd on miserver: SSH login alert
> for user userZ from IPx (TLDPAIS/PAIS/HOSTNAMEATACANTE" for
> glupi...@gmail.com
> /var/log/lfd.log:Dec 29 08:49:
El archivo
/home/userz/.bash_history
NO existe
fué el primero que busqué
pero deconozco cómo obtener TODA acción realizada por IPx
sin embargo con
egrep -Ri IPx /var/log/*
creo que ya tengo "TODO"
o puede el hacker haber borrado el LOG ?
GRACIAS !
El 29/12/13, Gabriel Pinares escribió:
> Aprec
Apreciados: MUCHAS GRACIAS.
Yo he creado a "userZ"
userZ ha cambiaod la clave por una que desconozco.
el "REAL USER" lo he cambiado por "userZ" para publicar aquí en esta
lísta de CentOs
la "IP REAL" la he cambiado por IPx para publicar aquí en esta lísta de CentOs
no estoy seguro, pero CREO que
On 12/29/2013 5:39 PM, "Ernesto Pérez Estévez, Ing." wrote:
>> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
>> history por si el hacker ha sido tan descuidado que no ha borrado el
>> historico de comandos.
> no, no su -... mejor less /home/userz/.bash_history verle sin meterse
> Otra cosa que puedes hacer es hacer su - userz y lanzar el comando
> history por si el hacker ha sido tan descuidado que no ha borrado el
> historico de comandos.
no, no su -... mejor less /home/userz/.bash_history verle sin meterse en
el perfil del usuario.. así queda menos riesgosa la cosa.
On 12/29/2013 5:22 PM, "Ernesto Pérez Estévez, Ing." wrote:
> On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
>> Hola.
>>
>> Desde x IP se han logrado colar utilizando SHELL.
> primero que todo, relax... apagando o reinstalando no resolverás nada..
> así que es PERFECTO que estés tratando de averigu
On 12/29/2013 11:09 AM, Gabriel Pinares wrote:
> Hola.
>
> Desde x IP se han logrado colar utilizando SHELL.
primero que todo, relax... apagando o reinstalando no resolverás nada..
así que es PERFECTO que estés tratando de averiguar cómo, para que
puedas solucionar el hueco... excelente.
> - -
Hola.
Desde x IP se han logrado colar utilizando SHELL.
Al revisar el archivo
/var/log/secure
encuentro:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -
Dec 29 08:49:35 http sshd[3156]: Accepted password for userz from IPx
port 44021 ssh2
Dec 29 08:49:35
24 matches
Mail list logo