Retroceder   Foros del Web > Administración de sitios web > Servidores Web
Actualizar esta página Ayuda - Alguien esta subiendo virus a mi servidor
Registrarse Ayuda Miembros Buscar Temas de Hoy Marcar Foros Como Leídos

Respuesta
 
Herramientas Desplegado
Antiguo 25-abr-2008, 15:15   #1 (permalink)
alejoxd ha deshabilitado el karma
 
Fecha de Ingreso: enero-2008
Mensajes: 9
Ayuda - Alguien esta subiendo virus a mi servidor
Hola.

Desde hace unos dias alguien está subiendo virus a varios sitios propios que tengo en un servidor dedicado Linux con Cpanel.
En el messages log encontré esto:
Cita:
Apr 20 13:35:11 srv01 pure-ftpd: (?@76.164.192.2) [INFO] New connection from 76.164.192.2
Apr 20 13:35:12 srv01 pure-ftpd: (?@76.164.192.2) [INFO] chicasjo is now logged in
Apr 20 13:35:13 srv01 pure-ftpd: (chicasjo@76.164.192.2) [NOTICE] /home/chicasjo//public_html/My_foto.exe uploaded (255488 bytes, 278.28KB/sec)
Y asi con por lo menos 4 sitios los cuales son sitios diferentes entre si, no tienen un determinado script como para decir que me los está coloando por ahi, sino que son sitios distintos.
Por lo que se ve en el log, han entrado directamente por el FTP ?

Como primeras medidas limite a que no se puedan subir archivos por http, register_globals desactivado y safe mode activado.
Que mas deberia hacer? porque la empresa de hosting ya me desconecto 2 veces el servidor por las denuncias de los virus, ya que esta persona luego de subirmelos hace SPAM por cuenta propia y envia los enlaces de mi dominio con el virus.
Última edición por alejoxd; 25-abr-2008 a las 15:44.
alejoxd está desconectado   Responder Citando
Antiguo 26-abr-2008, 11:52   #2 (permalink)
Colaborador
WebTech tiene algunos puntos positivos de karma
 
Avatar de WebTech
 
Fecha de Ingreso: octubre-2005
Ubicación: Infranetworking.com
Mensajes: 2.224
Enviar un mensaje por MSN a WebTech
Re: Ayuda - Alguien esta subiendo virus a mi servidor
Lo primero que deberías hacer es cambiar los passwords de FTP, usar combinaciones que incluyan letras (mayúsculas y minúsculas), números y símbolos como " @ # ! $ etc.

También pide a tu proveedor que banee las IPs de los atacantes, por lo visto se han conectado desde 76.164.192.2.

Adicionalmente, puede que tengas un keylogger instalado en tu computadora (un programa que loguea todo lo que escribes --incluyendo contraseñas-- y le envía dicha información al atacante cada vez que te conectas a Internet), revisa bien eso, pues por más que cambies los passwords, si es esto lo que te está sucediendo, el problema continuará.

Saludos,
__________________
Infranetworking.com - Hosting, Resellers y Servidores Dedicados
WebTech está desconectado   Responder Citando
Antiguo 26-abr-2008, 18:16   #3 (permalink)
alejoxd ha deshabilitado el karma
 
Fecha de Ingreso: enero-2008
Mensajes: 9
Re: Ayuda - Alguien esta subiendo virus a mi servidor
Hola. Siempre uso de antivirus el Nod32 y nunca me detecto ningun keylogger, tambien le pase el Spybot search and destroy y nada. El pass que uso es de 9 letras, incluia palabras y numeros, no creo que haya sido un pass sencillo como para que lo saquen automaticamente con algun soft.
Hoy he vuelto a chequear el messages log y otra vez han accedido a otro subdominio mio:
Cita:
Apr 26 18:36:34 srv01 pure-ftpd: (?@207.10.234.217) [INFO] New connection from 207.10.234.217
Apr 26 18:36:34 srv01 pure-ftpd: (?@207.10.234.217) [INFO] todoenlace is now logged in
Apr 26 18:36:34 srv01 pure-ftpd: (todoenlace@207.10.234.217) [NOTICE] /home/todoenlace//redir.html uploaded (110 bytes, 2.51KB/sec)
Apr 26 18:36:35 srv01 pure-ftpd: (todoenlace@207.10.234.217) [NOTICE] /home/todoenlace//video.exe uploaded (87552 bytes, 111.40KB/sec)
Apr 26 18:36:36 srv01 pure-ftpd: (todoenlace@207.10.234.217) [NOTICE] /home/todoenlace//www/redir.html uploaded (0 bytes, 0.00KB/sec)
Apr 26 18:36:36 srv01 pure-ftpd: (todoenlace@207.10.234.217) [NOTICE] /home/todoenlace//www/video.exe uploaded (0 bytes, 0.00KB/sec)
Me han subido el archivo video.exe que es un virus y otro llamado redir.html que contenia esto:
Cita:
<html>
<head>
<META http-equiv="refresh" content="0;URL=http://sugaronly.com/">
</head>
<body>
</body>
</html>
Me tiene preocupado, no se si han encontrado algún agujero de seguridad ó han entrado sabiendo el user y el pass !! Por ahora he cambiado el pass de esos dominios , vere que pasa. Cambiarlos a todos se me va hacer un problema ya que tengo muchos. El unico que maneja ese servidor soy yo. Descartada la opcion de algun conocido que tuviera acceso al mismo.
alejoxd está desconectado   Responder Citando
Antiguo 04-may-2008, 11:52   #4 (permalink)
MRB08
 
Avatar de MRB08
 
Fecha de Ingreso: febrero-2008
Ubicación: info@elcodigo5.com.ar
Mensajes: 235
Enviar un mensaje por MSN a MRB08 Enviar un mensaje por Yahoo a MRB08
Exclamación Re: Ayuda - Alguien esta subiendo virus a mi servidor
Si te referís al servidor de tu PC, te recomiendo que los cierres de inmediato por los puertos abiertos, o si tenes puertos abiertos en tu servidor externos, hazlo cerrar y ademas como dijo el de la primera respuesta
__________________
Atte: MRB08
MRB08 está desconectado   Responder Citando
Respuesta
No hay votos aún.


« Tema Anterior | Próximo Tema »
Herramientas
Desplegado
Mode Lineal Mode Lineal

Normas de Publicación
No puedes crear nuevos temas
No puedes responder temas
No puedes subir archivos adjuntos
No puedes editar tus mensajes
BB code is Activado
Caritas están Activado
[IMG] está Activado
Código HTML está Desactivado


La Zona horaria es GMT -6. Ahora son las 14:57.

Contáctenos - Foros del Web - Archivo - Arriba

Message Board Statistics

LinkBacks Enabled by vBSEO 3.1.0

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93