Tema ftp

Haber si me sé explicar, tengo un vps administrado y me asalta una duda.

Normalmente hasta ahora cuando entraba en ftp, con filezila, veia el directorio del server y en donde pone Propietario/Grupo aparecia el nombre de cada usuario de la cuenta. Bien desde hace unos días solo aparecen números.

Captura: Adjunta

Es posible que hayan hackeado el server, y lo que más me preocupa me puede ocasionar algún problema.

Como se puede solucionar?

Muchas gracias.

 

No tiene porque ...

Cada usuario tiene un UID y GID ... que puede en el servidor estar organizado de esta manera que se muestren los UID y GID.

Por lo tanto no tiene nada que ver con que te hayan hackeado el servidor, por lo menos no son indicios.

Deberías mirar los últimos accesos al mismo y comprobar si son válidas o no.

Saludos!

 

Bueno confirmo que el servidor si ha sido hackeado, modificaron algunos index.php.

@ Boduka, esos Uid y Gid siempre han sido el nombre de la cuenta de usuario y ahora son numeros. ej/ si la cuenta de usuario la cree como usuar99 ahora se llama 32007 y 32010

Estoy bastante preocupado.

 

Buffffff

Pues vaya tela entonces ... me da a mi que tienes un pequeño problema de seguridad. Has averiguado la forma en la que te han entrado ???

Alguna password débil?
Permisos inseguros?

Revisa también que no hayan metido una key SSH en tu VPS, para acceso directo.

Revisa los demonios que están corriendo en el mismo y mira puertos de escuchas raros.

Intenta pasar el rootkit también.

Saludos!

 

Gracias, pero no sé como revisar eso que comentas. Envie soporte a mi proveedor pero o no me entienden o no me sé explicar.

Que es una key SSH? Como paso un rootkit? Se pueden revertir los Uid y Gid?

Muchas gracias

 

Simplemente borrando/alterando el fichero de password/usuarios de sistema ya sueles tener ese efecto.

Cuando hay un problema de seguridad de este tipo debes de reformatear el server y empezar de nuevo.

 

Una key extraña en el ssh aparece en /root/.ssh/ en el fichero authorized_keys o known_hosts. Ahora no recuerdo bien...

Analiza los usuarios que tienes en el sistema actualmente por si te han creado nuevos.

Revisa que no tengas ninguna shell por php.

Tambien le pasas lo que te dije del rootkit:

Versiones debian : aptitude install chkrootkit o apt-get install chkrootkit
Versiones RedHat : yum install chkrootkit

Luego para pasarlo yo te recomiendo que redirijas la salida a un fichero. Por ejemplo:

chkrootkit > ficherolog.txt

Y desde ahi ya se podria analizar posibles fallos si encuentra algo.

Pero como te re comiendo el compañero ideasmultiples ... si puedes reinstala sacando antes un backup y te comeras menos la cabeza .

Saludos!

 

Gracias por las respuestas, mi proveedor me ha dicho que está libre de rootkits y/o usuarios con UID 0

Que más puedo hacer?

 

Vaya entonces mi preocupación esta motivada por un conjunto de efectos en un mismo periodo de tiempo que no tienen que estar relacionados.

Gracias Apolo me dejas más tranquilo.

Existe alguna aplicación para pasar a mi server, y ver vulnerabilidades?

 

Ummmmmm pues que yo conozca nop ...

Pero si que existen guias por internet que te recomienda cosillas a seguir. No existe nada standard...

Saludos y mejor este ultimo aspecto de que no estas hacked