The Community Forums

Interact with an entire community of cPanel & WHM users!
  1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

Que buscar luego de un intento de hackeo

Discussion in 'Discusión en Español' started by mdelacruz, Dec 28, 2007.

  1. mdelacruz

    mdelacruz Member

    Joined:
    Apr 24, 2004
    Messages:
    21
    Likes Received:
    0
    Trophy Points:
    1
    Hola muchachos,

    Hace un par de días, hubo un intento de hackear mi server, al menos eso entiendo, y mis sistemas de seguridad lo impidieron, al menos eso espero.

    La pregunta es: ¿Qué cosas debo ver y buscar para verificar si verdaderamente la seguridad del servidor funcionó correctamente?

    Se que éstos señores usan mucho el /tmp para sus cosas. ¿Qué cosas debería tener este directorio o qué cosas no debería tener? Por ejemplo en el mío veo un subdirectorio PEAR ¿es ésto normal? ¿porque tiene que estar allí? Otro .horde y cpbandwidth.

    Espero sus recomendaciones.

    Muchas gracias!
     
  2. Piolon

    Piolon Well-Known Member

    Joined:
    Feb 20, 2007
    Messages:
    48
    Likes Received:
    0
    Trophy Points:
    6
    Recomendaciones

    Lo que hago frecuentemente es lo siguiente...

    Monitorear los logs... principalmente...

    /usr/local/apache/logs
    en el error.log siempre encontré cómo subian los archivos y con eso me ayudaba a resolver los problemas.

    Luego verifico la existencia de algunos de estos troyanos...

    locate eggdrop (muy frecuente)
    locate bnc (muy frecuente)
    locate BNC
    locate ptlink
    locate BitchX
    locate guardservices
    locate psyBNC
    locate .rhosts

    Los siguientes son utilizados por cpanel, no son troyanos

    /home/cpapachebuild/buildapache/php-4.3.1/ext/ircg
    /usr/local/cpanel/etc/sym/eggdrop.sym
    /usr/local/cpanel/etc/sym/bnc.sym
    /usr/local/cpanel/etc/sym/psyBNC.sym
    /usr/local/cpanel/etc/sym/ptlink.sym
    /usr/lib/libncurses.so
    /usr/lib/libncurses.a

    Te recomiendo instalarte...

    mod_security de apache
    chkrootkit-0.47
    algun firewall como APF
    rkhunter
    y finalmente nobody_check


    Si alguien conoce algo más ... agradezco también todo tipo de aporte...

    PD: Algunas cosas que leí y aplique...

    Utilizando las configuraciones por defecto

    - http://www.cpanel.net/security/commontips.htm

    Pasos: 1,2,3,4,6,9

    - Asegurar apache, ver archivo "Consejos para asegurar el servidor"

    http://forums.theplanet.com/index.php?showtopic=45648

    - Asegurar directorio /tmp con la guia "Secure Secure TMP On cPanel Servers.mht"

    http://www.webtalkforums.com/showthread.php?t=2670

    - Seguir la guía del archivo "A Beginner's Guide to Securing Your Server"

    http://forums.cpanel.net/showthread.php?t=30159

    - Seguir la guía del archivo "How-to: Determine if a server is hacked"

    http://www.eth0.us/hacked


    Finalmente... saludos a todos....
     
  3. auhosting

    auhosting Well-Known Member

    Joined:
    May 27, 2006
    Messages:
    85
    Likes Received:
    0
    Trophy Points:
    6
    hola, buen aporte,
    como haces correr nobody_check ??
    via ssh conque comando.
     
  4. mdelacruz

    mdelacruz Member

    Joined:
    Apr 24, 2004
    Messages:
    21
    Likes Received:
    0
    Trophy Points:
    1
    Gracias

    Piolon, gracias por tus comentarios.

    Mi server tiene implementada toda la seguridad que ofrece configserver.com con todos sus paquetes, por eso estoy seguro que no lograron hacer nada, porque además no he observado comportamientos extraños de consumo de memoria o cpu.

    Gracias por tus aportes que están por demás muy buenos.
     
  5. cokequai

    cokequai Member

    Joined:
    Feb 15, 2005
    Messages:
    15
    Likes Received:
    0
    Trophy Points:
    1
    Location:
    Chile, Santiago.
    Hola

    Alguna recomendación más reciente?
     
  6. benito

    benito Well-Known Member

    Joined:
    Jan 8, 2004
    Messages:
    296
    Likes Received:
    1
    Trophy Points:
    18
    Location:
    Mar del Plata - Argentina
    Tuviste algun problema en particular recientemente?
     
Loading...

Share This Page