Mi server ataca a otro.

userman · #1 (**permalink**) 07/04/2011, 06:47

Buenas,

he recibido un mail de otro servidor diciendo que mi servidor esta atacando al suyo y me copia su log:
> Apr 7 13:33:41 whitie sshd[12822]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12825]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12829]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12824]: Did not receive identification string from X.X.X.X
> Apr 7 13:33:41 whitie sshd[12823]: Did not receive identification string from X.X.X.X

donde X.X.X.X es la ip de mi servidor.

Como es posible que este pasando esto? puede que tenga un scritp en mi servidor que este haciendo eso??

Hay algun script para check el servidor en busca de fallos y demas? mi servidor es Centos.

** He llegado a la conclusion que han hakeado mi server y esta atacando a otros con fuerza bruta, me recomendais algun script que checkee los fallos de mi servidor para arreglarlo??

Saludos.

Datacenter1 · #2 (**permalink**) 08/04/2011, 09:01

No existe una forma fácil de "limpiar" un servidor comprometido, lo recomendable es formatear el servidor y recuperar la data desde backups limpios

El atacante puedo haber alterado archivos del sistema y será muy difícil (si no usas herramientas de auditoria) determinar exactamente que fue modificado

Como medida inmediata deberías bloquear las conexiones salientes (puertos 22, 23, etc) para evitar seguir atacando a terceros y plantearte una rápida restauración del sistema.

userman · #3 (**permalink**) 11/04/2011, 07:52

Gracias por la respuesta datacenter1, como siempre estas al pie del cañon :)

Ya he averiguado el problema y he tomado medidas, la duda que me queda es si ha podido modificar ficheros del sistema o algo... porque reinstalar todo el sistema de nuevo es una paliza con todas las webs que tengo instalada y su configuracion...

Esperare a ver si hay algun movimiento raro o me ataquen de nuevo..

Saludos!

Datacenter1 · #4 (**permalink**) 11/04/2011, 09:41

Cita:

Iniciado por userman

Gracias por la respuesta datacenter1, como siempre estas al pie del cañon :)

Ya he averiguado el problema y he tomado medidas, la duda que me queda es si ha podido modificar ficheros del sistema o algo... porque reinstalar todo el sistema de nuevo es una paliza con todas las webs que tengo instalada y su configuracion...

Esperare a ver si hay algun movimiento raro o me ataquen de nuevo..

Saludos!

Te sugiero instalar CSF es un firewall bastante completo que además dispone de algunas opciones de auditoría, si es en un servidor cPanel, incluye ademas una interfaz desde WHM, pero si no tienes cPanel igual funcionará vía consola