Como leer Logs FTP

dariocab · #1 (**permalink**) 22/05/2009, 08:16

Hola gente.. tuve visita de intrusos en mis webs, y quiero saber como interpretar los logs para saber desde donde vino el ataque.

Ejemplo de un log de una modificacion mia:

Thu May 21 16:48:52 2009 1 201.231.54.XXX 7969 /public_html/index.php a _ o r portal1 ftp 0 * c

Y el siguiente es un log de este intruso:

Thu May 21 12:47:09 2009 1 91.212.65.XXX 8024 /public_html/index.php b _ i r portal1 ftp 0 * c

Como pueden ver, entre uno y otro, además del IP cambia la A por la B que puse en negrita. Que significa esa letra? a que se refiere?

Espero puedan ayudarme.
Gracias.

GatorV · #2 (**permalink**) 22/05/2009, 08:28

Tema trasladado desde PHP

dariocab · #3 (**permalink**) 05/06/2009, 09:52

Tras varias semanas me sigue pasando lo mismo.. cambie contraseñas y todo pero me siguen inyectando codigos (iframes) en los archivos index de mis webs.
Necesito saber que quieren decir esos logs para saber como estan haciendo esto y solucionarlo...

Espero puedan ayudarme.. gracias.

alvaromorala · #4 (**permalink**) 26/06/2009, 05:06

Desde hace ya meses yo estoy teniendo este mismo problema.

Existe varias posibilidades:

1.- Que te modifiquen los archivos desde el propio hosting. Por ejemplo con injección de código,... Si tienes instalado algún script tipo wordpress, joomla o algo por el estilo lo mejor es que lo actualices. Revisa concienzudamente los logs de acceso por si encuentras algo raro. Son archivos grandes pero no te queda más remedio.
2.- Te han pillado el password desde tu ordenador. Actualiza tu antivirus y escanealo entero. También puedes instalarte el Spyware Doctor. Lo puedes encontrar en:

pack.google.com/intl/es/pack_installer.html?hl=es&brand=GPMD&utm_source=es _ES-et-more&utm_medium=et&utm_campaign=es_ES

(selecciona solo el anti spyware)
3.- El problema lo tiene tu proveedor de hosting, si es que están con una empresa de hosting.

Yo en mi caso he verificado los pasos uno y dos y no encontré nada de nada.

También estuve un tiempo cambiando el password FTP después de cada utilización y no lo guardaba en ningún sitio. Tampoco tuve fortuna.

Ahora mismo me estoy peleando con la empresa de hosting y he conseguido averiguar que les están robando los passwords, aunque todavía no me lo han solucionado. Para verificar esto lo que hice es solicitarles que cambiaran las passwords desde su lado y que no me la enviaran. Después de unos días les pedí los logs de acceso al FTP y el listado de IP's que consiguieron logearse.

Si consigues verificar esto deberían buscar ellos la causa, porque entonces está de su lado.

Creo que el problema no te lo he solucionado, pero al menos tienes por donde empezar.

Un saludo,
Alvaro

jomaruro · #5 (**permalink**) 28/06/2009, 04:49

Hola:

¿El hosting es gratuito?

¿Tienes algún contador que no hayas hecho tú?

Saludos.

dariocab · #6 (**permalink**) 02/09/2009, 11:32

No, no tengo un contador.. uso solo el google analytics.

Al problema lo solucioné desactivando el FTP desde el panel de control.
El hosting que tengo es un semidedicado.

Asi que por el momento, hago eso... cuando uso el ftp lo activo y lo desactivo tras terminar su uso. Es la única que encontré...