Ataque contra servidor al usuario root

Question

Ataque contra servidor al usuario root

Archivado

n00b's 05 dic 2011 03:47 *

MegaAdicto!!!

931 mensajes
desde jun 2007

Editado 1 vez. Última: 5/02/2017 - 17:11:46 por n00b's.

*

Buenas, tengo un pequeño servidor debian (que no actualizo

) y creo que he sufrido un ataque ( por segunda vez, exactamente igual, robo de clave root que solucioné reiniciando y arreglandolo desde una consola en grub ), en el cual me han quitado la contraseña de root y han enviado emails masivamente.
cuando abro mail desde otro usuario por ssh me sale lo siguiente

Que si mal no veo, debe de ser /etc/shadow, este "mail" esta enviado varias veces a varias direcciones y con el asunto "rk" que supongo que será root key.
Entrando por ftp puedo ver que la fecha de modificacion de /etc/shadow es del 25 de noviembre.
Estoy en el kernel: 2.6.32-5-686
Corriendo un servidor apache 2, un ftp y uno ssh (con acceso root desde cualquier lugar), ya tengo claro lo que he de hacer, instalarlo todo desde 0 actualizando a diario y sin usar root, por lo demás, ¿qué opinais de esto?, ya se que todo es culpa mia por dejar una ENTRADA enorme, pero me gustaria saber que pensais del envio incluso de la propia clave por email.

EDIT: Si quereis algun dato mas tengo acceso completo fisico al servidor.

10 respuestas

Answer 1 · 2011-12-05T04:02:54+00:00

te digo que es mas comun de lo que piensas

y con appliance comerciales dedicados a la seguridad tb ha pasado [360º]

(y ahora que me acuerdo, estaba basado en debian)

n00b's 05 dic 2011 05:04 MegaAdicto!!! **931** mensajes desde **jun 2007** · Answer 2 · 2011-12-05T04:04:27+00:00

Pues nada... a blindarlo todo, es increible como esta la gente, habran visto el servidor y tirado un exploit cualquiera.

Answer 3 · 2011-12-05T20:54:13+00:00

A mi me pasó cuando puse el server para el minecraft, creo que es buena idea ademas de actualizaciones de seguridad, firewall y eso, cambiar el puerto por defecto del ssh, o hacer la redireccion en el router.

n00b's 05 dic 2011 21:57 MegaAdicto!!! **931** mensajes desde **jun 2007** · Answer 4 · 2011-12-05T20:57:31+00:00

Lustmord escribió:A mi me pasó cuando puse el server para el minecraft, creo que es buena idea ademas de actualizaciones de seguridad, firewall y eso, cambiar el puerto por defecto del ssh, o hacer la redireccion en el router.

Sí, obviamente actualizar lo máximo posible, por que buscando hay un monton de xploits y han tirado por cualquiera de esos.

Answer 5 · 2011-12-06T16:28:35+00:00

Una máquina que esté visible en internet tiene que estar actualizada al día y con los servicios a la escucha que uses nada más (importante no dejar corriendo algo que no uses y por lo tanto seguramente dejes de lado).

La máquina era un servidor web, no?

Yo te recomendaría, dado que lógicamente usas ssh lo siguiente:

ssh en puertos raros, por encima del 1024: Los robots que usan para buscar ssh con claves por defecto o vulnerables buscan continuamente por el puerto standard, te quitas al menos un montón de entradas de log en el ssh

, incluso en modo locura, me plantearía usar port-knocking: http://dotancohen.com/howto/portknocking.html

Apache: Configurar el apache para que esté en un chroot.

Usar fail2ban

Un saludo.

Answer 6 · 2011-12-08T00:32:27+00:00

Lustmord escribió:A mi me pasó cuando puse el server para el minecraft, creo que es buena idea ademas de actualizaciones de seguridad, firewall y eso, cambiar el puerto por defecto del ssh, o hacer la redireccion en el router.

a mi en el de magnanoziva.com lo intentan como 3 o 4 veces al día entrar como root, y al dedicado del minecraft unas 5 o 6, ambos no permiten entrar a root desde ssh, tiene un filtro de ip que solo puede tocar un usuario determinado que para entrar requiere una clave de mas de 12 digitos y ese usuario solo puede entrar si está en un rango de ips en concreto xD

n00b's 08 dic 2011 01:35 MegaAdicto!!! **931** mensajes desde **jun 2007** · Answer 7 · 2011-12-08T00:35:41+00:00

Genial, me las apunto todas para la nueva instalacion que estoy planteando! Muchas gracias a todos!

Answer 8 · 2011-12-08T19:54:53+00:00

KiAn escribió:
Lustmord escribió:A mi me pasó cuando puse el server para el minecraft, creo que es buena idea ademas de actualizaciones de seguridad, firewall y eso, cambiar el puerto por defecto del ssh, o hacer la redireccion en el router.

a mi en el de magnanoziva.com lo intentan como 3 o 4 veces al día entrar como root, y al dedicado del minecraft unas 5 o 6, ambos no permiten entrar a root desde ssh, tiene un filtro de ip que solo puede tocar un usuario determinado que para entrar requiere una clave de mas de 12 digitos y ese usuario solo puede entrar si está en un rango de ips en concreto xD

Tienes suerte

en una de las máquinas que llevamos tenía unos 4.000 intentos de acceso por ssh al día, era una locura leer el log y los usuarios que intentaban

Answer 9 · 2011-12-14T06:00:02+00:00

ballstud escribió:...Tienes suerte en una de las máquinas que llevamos tenía unos 4.000 intentos de acceso por ssh al día, era una locura leer el log y los usuarios que intentaban

Usa sshguard y como ya te han dicho, limita los puertos en escucha a los más importantes:

netstat -l

y revísate la guía harden-doc (la tienes en el repo o bien aquí).

Salu2!

Answer 10 · 2011-12-14T15:25:48+00:00

tambien puedes configurar el iptables para que no responda a los ping, asi evitarias que te encontraran por nmap (en un escaneo rapido)