The Community Forums

Interact with an entire community of cPanel & WHM users!
  1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

ShellBot en /tmp !!!

Discussion in 'Discusión en Español' started by Piolon, Aug 27, 2007.

  1. Piolon

    Piolon Well-Known Member

    Joined:
    Feb 20, 2007
    Messages:
    48
    Likes Received:
    0
    Trophy Points:
    6
    Hace un par de semanas me están molestando con scripts en archivos .txt alojados en el directorio /tmp del servidor.

    El scritp utilizado es Stealth ShellBot

    Al revisar el log de errores de php visualizo cómo es que están levantando este archivo...

    --01:28:21-- http://xxxxxxxxxxxxxx.com/emilio.txt.txt
    => `emilio.txt.txt'
    Resolving xxxxxxxxxx.com... 200.45.0.139
    Connecting to xxxxxxxxx.com|200.45.0.139|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 28,293 (28K) [text/plain]

    0K .......... .......... ....... 100% 8.22 KB/s

    01:28:26 (8.22 KB/s) - `emilio.txt.txt' saved [28293/28293]

    Leí que habría que deshabilitar la ejecución en el directorio /tmp pero no sé si esto generará problemas a futuros con otras aplicaciones del servidor.

    Soy relativamente nuevo en esto y quería saber qué prácticas recomiendan para combatir estos problemas...

    Configuré la política de seguridad que habla de "Secure your /tmp partition" pero no ayudó en eso.

    Por favor.. si alguien me puede ayudar a resolver este problema... quedo super agradecido !!!!:(
     
  2. Hispalab

    Hispalab Well-Known Member

    Joined:
    Apr 17, 2003
    Messages:
    88
    Likes Received:
    0
    Trophy Points:
    6
    Location:
    Madrid -Spain
    Sigue todos los pasos que tienes en
    http://forums.cpanel.net/showthread.php?t=30159

    bajate el rkhunter y el chkrootkit para buscar si te han cambiado algo importante.
    Revisa el /dev/shm en busca de directorios y ficheros ocultos, suelen utilizarlo para que corran ese tipo de bots.

    Localiza la aplicación por la que te han entrado y parcheala.
    localiza en los logs del apache la dirección Ip desde la que han bajado el bot y además de banearla en el filtro de Ips. Escríbele al responsable de su red para quejarte de la actividad ilegal de su usuario.

    Avisa por correo electrónico al responsable de la red de donde bajan el bot, suelen cerrar ese tipo de webs si reciben quejas serias. (abuse@arnet.com.ar)

    Buena suerte.
     
  3. Piolon

    Piolon Well-Known Member

    Joined:
    Feb 20, 2007
    Messages:
    48
    Likes Received:
    0
    Trophy Points:
    6
    Muchas gracias por el consejo !!!

    Estoy aplicando todas las protecciones que me faltaban...

    Saludos....
     

Share This Page