The Community Forums

Interact with an entire community of cPanel & WHM users!
  1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

¿Hacked?

Discussion in 'Discusión en Español' started by latpanel, May 4, 2006.

  1. latpanel

    latpanel Well-Known Member

    Joined:
    Jan 23, 2004
    Messages:
    134
    Likes Received:
    0
    Trophy Points:
    16
    Veamos,
    He tenido una caída del servidor, justo antes hubo una actualización según mi email de Cron/upcp
    .............
    Running install for module File::HomeDir
    Running make for A/AD/ADAMK/File-HomeDir-0.57.tar.gz
    Fetching with LWP:
    http://www.uberlan.net/CPAN/authors/id/A/AD/ADAMK/File-HomeDir-0.57.tar.gz
    CPAN: Digest::SHA loaded ok
    CPAN: Module::Signature loaded ok
    WARNING: This key is not certified with a trusted signature!
    Primary key fingerprint: 2E66 557A B97C 19C7 91AF 8E20 328D A867 450F 89EC
    Signature for /home/.cpan/sources/authors/id/A/AD/ADAMK/CHECKSUMS ok
    Fetching with LWP:
    http://www.uberlan.net/CPAN/authors/id/A/AD/ADAMK/CHECKSUMS
    WARNING: This key is not certified with a trusted signature!
    Primary key fingerprint: 2E66 557A B97C 19C7 91AF 8E20 328D A867 450F 89EC
    Signature for /home/.cpan/sources/authors/id/A/AD/ADAMK/CHECKSUMS ok
    Checksum for /home/.cpan/sources/authors/id/A/AD/ADAMK/File-HomeDir-0.57.tar.gz ok
    Scanning cache /home/.cpan/build for sizes
    File-HomeDir-0.57/
    File-HomeDir-0.57/inc/
    ................

    Me tuvieron que levantar el servidor en consola desde el centro de datos.
    Después recibo tres mensajes. El primero:

    IMPORTANT: Do not ignore this email.
    This message is to inform you that the rpm
    package findutils did not match the expected checksum. This could mean that
    your system was compromised (OwN3D). The offending files have been removed
    and replaced with the OS default. To be safe you should verify that your
    system has not be compromised.

    Modified Files:
    S.?..... /usr/bin/find
    S.?..... /usr/bin/xargs

    Y otros dos similares pero con otros archivos.

    RKHUNTER me da una larga lista de archivos BAD como este

    /usr/sbin/prelink: /bin/echo: at least one of file's dependencies has changed since prelinking
    /bin/echo [ BAD ]

    Mirando el log del rkhunter veo
    MD5 hash for my file (/bin/echo) is d41d8cd98f00b204e9800998ecf8427e, but is not in database

    ¿Puede ser que esto sea debido a las actualizaciones de CPANEL?¿O es un caso claro de sistema comprometido?

    Alguna respuesta por favor.
     
  2. Estrac

    Estrac Well-Known Member

    Joined:
    Nov 18, 2005
    Messages:
    56
    Likes Received:
    0
    Trophy Points:
    6
    de algun otro servidor, copia

    ps
    top
    ls
    netstat
    -------------

    checa procesos, puertos a ver que hay por ahi ... instalate tripwire para la prox y echate un clavado a los logs, asi como el archivo de passwd, checa usuarios con bin/bash

    date una vuelta tambien al cron

    instalate chkrootkit a ver que te sale

    espero y ayude,

    estrac
     
  3. latpanel

    latpanel Well-Known Member

    Joined:
    Jan 23, 2004
    Messages:
    134
    Likes Received:
    0
    Trophy Points:
    16
    Nada

    Tengo APF, rkhunter, chkrootkit, mod_secure, suexec, en fin todo lo que se me hja ocurrido. Además de que el root no puede acceder vía ssh (puesto en un puerto muy atípico), no tengo telnet.
    Todo lo que vi para evitar accesos.
    El caso es que tengo un día entero de logs que no aparecen: como si el servidor hubiera estado desconectado, pero me consta que en ese día hubieron visitas (por las impresiones de banners).
    Anoche entre las 2 y las 5 de la madrugada no hay nada en los logs (ni apache ni messages).
    Si alguien entró es un profesional (no un script kid, lo cual me tranquiliza algo).

    Rkhunter no me dice nada, todo está bien.
    chkrootkit me da algunos procesos ocultos ¿como verlos?
    ¿Cómo ver por donde entraron?

    Saludos
     
  4. IPSecureNetwork

    IPSecureNetwork Well-Known Member

    Joined:
    May 28, 2005
    Messages:
    99
    Likes Received:
    0
    Trophy Points:
    6
    Hacked

    eso sucede si por que puede que algun file haya quedado corrupto o dañado el inodo.
    para corregir esto y descartar cualquier intento de hack. por favor
    has lo siguiente en tu directorio de scripts ..
    has un upcp --force
    /scripts/upcp --force < ejemplo.

    esto debiera solucionar lo que no ha podido instalar la vez en que tu servidor ha caido.
    .

    para descartar tambien intentos de hack puedes chequear tu /tmp puesto que alli suelen instalarse algunos php.shells que utilizan para luego exploitear algun servicio y loguearse como admins o usuarios y subir luego privilegios.
     

Share This Page