1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

cuenta de hosting comprometida

Tema en 'VPS Hosting' iniciado por Soc, 19 Jul 2017.

  1. Soc

    Soc Usuario activo

    Estimados foreros,
    Tengo un problema con una cuenta de hosting, les paso a contar.
    Resulta que desde hace un tiempo, están subiendo un script .php a esta cuenta y desde ahí se hacen envíos de spams.
    Por suerte un alerta de cpanel, me avisa a tiempo para borrarlo inmediatamente.
    Ejecuto ClamAV y no encuentra ningún virus.
    He instalado Chkrootkit y Rkhunter los ejecuto y estos son los resultados:
    Alguien me podría ayudar a interpretar estos resultados e indicarme que medida tomar para evitar la subida del script malicioso, nuevamente.

    CODE, HTML o PHP Insertado:
    ./chkrootkit
    
    ROOTDIR is `/'
    Checking `amd'... not found
    Checking `basename'... not infected
    Checking `biff'... not found
    ......
    Checking `fingerd'... not found
    Checking `gpm'... not found
    ......
    Checking `inetd'... not tested
    Checking `inetdconf'... not found
    Checking `identd'... not found
    ........
    Checking `pop2'... not found
    Checking `pop3'... not found
    Checking `ps'... not infected
    Checking `pstree'... not infected
    Checking `rpcinfo'... not found
    Checking `rlogind'... not found
    Checking `rshd'... not found
    ......
    Checking `syslogd'... not tested
    .......
    Checking `telnetd'... not found
    Checking `timed'... not found
    .......
    Checking `aliens'... no suspect files
    Searching for sniffer's logs, it may take a while... nothing found
    Searching for HiDrootkit's default dir... nothing found
    Searching for t0rn's default files and dirs... nothing found
    Searching for t0rn's v8 defaults... nothing found
    Searching for Lion Worm default files and dirs... nothing found
    Searching for RSHA's default files and dir... nothing found
    Searching for RH-Sharpe's default files... nothing found
    Searching for Ambient's rootkit (ark) default files and dirs... nothing found
    Searching for suspicious files and dirs, it may take a while... nothing found
    Searching for LPD Worm files and dirs... nothing found
    Searching for Ramen Worm files and dirs... nothing found
    Searching for Maniac files and dirs... nothing found
    Searching for RK17 files and dirs... nothing found
    Searching for Ducoci rootkit... nothing found
    Searching for Adore Worm... nothing found
    Searching for ShitC Worm... nothing found
    Searching for Omega Worm... nothing found
    Searching for Sadmind/IIS Worm... nothing found
    Searching for MonKit... nothing found
    Searching for Showtee... nothing found
    Searching for OpticKit... nothing found
    Searching for T.R.K... nothing found
    Searching for Mithra... nothing found
    Searching for LOC rootkit... nothing found
    Searching for Romanian rootkit... nothing found
    Searching for HKRK rootkit... nothing found
    Searching for Suckit rootkit... nothing found
    Searching for Volc rootkit... nothing found
    Searching for Gold2 rootkit... nothing found
    Searching for TC2 Worm default files and dirs... nothing found
    Searching for Anonoying rootkit default files and dirs... nothing found
    Searching for ZK rootkit default files and dirs... nothing found
    Searching for ShKit rootkit default files and dirs... nothing found
    Searching for AjaKit rootkit default files and dirs... nothing found
    Searching for zaRwT rootkit default files and dirs... nothing found
    Searching for Madalin rootkit default files... nothing found
    Searching for Fu rootkit default files... nothing found
    Searching for ESRK rootkit default files... nothing found
    Searching for rootedoor... nothing found
    Searching for ENYELKM rootkit default files... nothing found
    Searching for common ssh-scanners default files... nothing found
    Searching for Linux/Ebury - Operation Windigo ssh... nothing found
    Searching for 64-bit Linux Rootkit ... nothing found
    Searching for 64-bit Linux Rootkit modules... nothing found
    Searching for Mumblehard Linux ... nothing found
    Searching for Backdoor.Linux.Mokes.a ... nothing found
    Searching for Malicious TinyDNS ... nothing found
    Searching for Linux.Xor.DDoS ... nothing found
    Searching for Linux.Proxy.1.0 ... nothing found
    Searching for suspect PHP files... nothing found
    Searching for anomalies in shell history files... nothing found
    Checking `asp'... not infected
    Checking `bindshell'... INFECTED PORTS: ( 465)
    Checking `lkm'... chkproc: nothing detected
    chkdirs: nothing detected
    Checking `rexedcs'... not found
    Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
    Checking `w55808'... not infected
    Checking `wted'... chkwtmp: nothing deleted
    Checking `scalper'... not infected
    Checking `slapper'... not infected
    Checking `z2'... chklastlog: nothing deleted
    Checking `chkutmp'...  The tty of the following user process(es) were not found
     in /var/run/utmp !
    ! RUID          PID TTY    CMD
    ! -Dsolr.autoSoftCommit.maxTime=30-Dsolr.log.muteconsole -XX:OnOutOfMemoryError=/home/cpanelsolr/bin/oom_solr.sh 8984 /home/cpanelsolr/server/logs -jar start.jar --module=http
           0 olr.install.dir=/home/cpanelsolr-Dsolr.autoSoftCommit.maxTime=30-Dsolr.log.muteconsole -XX:OnOutOfMemoryError=/home/cpanelsolr/bin/oom_solr.sh 8984 /home/cpanelsolr/server/logs -jar start.jar --module=http
     -Dsolr.log.muteconsole -XX:OnOutOfMemoryError=/home/cpanelsolr/bin/oom_solr.sh 8984 /home/cpanelsolr/server/logs -jar start.jar --module=http
    chkutmp: nothing deleted
    Checking `OSX_RSPLUG'... not tested
    

    CODE, HTML o PHP Insertado:
    [ Rootkit Hunter version 1.4.4 ]
    
    Checking system commands...
    
      Performing 'strings' command checks
        Checking 'strings' command                               [ OK ]
    
      Performing 'shared libraries' checks
        Checking for preloading variables                        [ None found ]
        Checking for preloaded libraries                         [ None found ]
        Checking LD_LIBRARY_PATH variable                        [ Not found ]
    
      Performing file properties checks
        Checking for prerequisites                               [ OK ]
        ......
        /sbin/ifdown                                             [ Warning ]
        /sbin/ifup                                               [ Warning ]
        /sbin/init                                               [ OK ]
         ......
        /usr/bin/GET                                             [ Warning ]
        /usr/bin/groups                                          [ OK ]
         .........
        /usr/bin/lastlog                                         [ OK ]
        /usr/bin/ldd                                             [ Warning ]
        /usr/bin/less                                            [ OK ]
      
         .......
        
        /usr/bin/wget                                            [ OK ]
        /usr/bin/whatis                                          [ Warning ]
     
      Performing additional rootkit checks
        Suckit Rookit additional checks                          [ OK ]
        Checking for possible rootkit files and directories      [ None found ]
        Checking for possible rootkit strings                    [ None found ]
    
      Performing malware checks
        Checking running processes for suspicious files          [ None found ]
        Checking for login backdoors                             [ None found ]
        Checking for sniffer log files                           [ None found ]
        Checking for suspicious directories                      [ None found ]
        Checking for suspicious shared memory segments           [ None found ]
        Checking for Apache backdoor                             [ Not found ]
    
      Performing Linux specific checks
        Checking loaded kernel modules                           [ OK ]
        Checking kernel module names                             [ OK ]
    
    [Press <ENTER> to continue]
    
    
    Checking the network...
    
      Performing checks on the network ports
        Checking for backdoor ports                              [ None found ]
    
      Performing checks on the network interfaces
        Checking for promiscuous interfaces                      [ None found ]
    
    Checking the local host...
    
      Performing system boot checks
        Checking for local host name                             [ Found ]
        Checking for system startup files                        [ Found ]
        Checking system startup files for malware                [ None found ]
    
      Performing group and account checks
        Checking for passwd file                                 [ Found ]
        Checking for root equivalent (UID 0) accounts            [ None found ]
        Checking for passwordless accounts                       [ None found ]
        Checking for passwd file changes                         [ None found ]
        Checking for group file changes                          [ None found ]
        Checking root account shell history files                [ OK ]
    
      Performing system configuration file checks
        Checking for an SSH configuration file                   [ Found ]
        Checking if SSH root access is allowed                   [ Warning ]
        Checking if SSH protocol v1 is allowed                   [ Not allowed ]
        Checking for a running system logging daemon             [ Found ]
        Checking for a system logging configuration file         [ Found ]
        Checking if syslog remote logging is allowed             [ Not allowed ]
    
      Performing filesystem checks
        Checking /dev for suspicious file types                  [ Warning ]
        Checking for hidden files and directories                [ Warning ]
    
    [Press <ENTER> to continue]
    
    
    
    System checks summary
    =====================
    
    File properties checks...
        Files checked: 142
        Suspect files: 5
    
    Rootkit checks...
        Rootkits checked : 479
        Possible rootkits: 0
    
    Applications checks...
        All checks skipped
    
    The system checks took: 3 minutes and 30 seconds
    
    All results have been written to the log file: /var/log/rkhunter.log
    
    One or more warnings have been found while checking the system.
    Please check the log file (/var/log/rkhunter.log)
    

    Gracias,
     
  2.  
  3. Sphyr0

    Sphyr0 Usuario activo

    Sin detalles de la web en cuestión, apostaría que es un CMS desactualizado, pirata o similar. :rolleyes:
     
  4. Soc

    Soc Usuario activo

    Si, el website esta hecho con joomla 2.5, alguna recomendación sobre los resportes ?
     
  5. justice13

    justice13 Usuario activo

    Actualiza Joomla a la última versión estable.
     
  6. Soc

    Soc Usuario activo

    Correcto, ya esta actualizado, pero el problema persiste.
    De que otra forma puede evitar esta carga de script, tal vez el problema sea de otro nivel.
     
  7. Datacenter1

    Datacenter1 Usuario activo

    Necesitas mod_security, maldet, reglas mod_security apropiadas (como las de Comodo WAF) y configurar todo para escanear todo lo que ingresa al servidor

    Si no tienes los conocimientos lo mejor es contratar ayuda especializada
     
    A ideasmultiples le gusta esto.
  8. Sphyr0

    Sphyr0 Usuario activo

    De nada sirve actualizar si...
    1. El script o sus componentes siguen siendo vulnerables.
    2. Con los hackeos previos, obtuvieron privilegios que les permite acceder sin necesidad de explotar el script.

    Si tienes el presupuesto, lo ideal sería contratar a alguien que pueda solucionar el problema, como señaló @Datacenter1 y rack911 tiene excelentes opiniones en WHT, podrías echarle un vistazo. Si prefieres hacerlo tú, podrías eliminar toda la web (previo un backup completo...), y revisar los registros de /var/log. ;)
    Esto es más como una capa adicional, que no es necesaria si tienes todo correctamente configurado, utilizas contraseñas que combinen caracteres alfanuméricos y especiales; y el código de la(s) web(s) alojada(s) es seguro. :rolleyes:
     
  9. Soc

    Soc Usuario activo

    Ok, tengo conocimientos básicos de lo que mencionas, tal vez puedas ayudarme con esto, veo que tienes muy buenas comentarios Datacenter1, podrías indicarme que costo tendría este servicio. Gracias.
     
  10. Soc

    Soc Usuario activo

    Gracias por tus recomendaciones, borre la cuenta, la volví a crear y se volvió a infectar, me he dado cuenta que esto solo ocurre con las cuentas que tienen CMS worpress o Joomla.
     
  11. copernico.es

    copernico.es Usuario activo

    Permíteme una pregunta, no me quedo muy claro ¿Es para un servidor dedicado?
     
  12. Andaina.net

    Andaina.net Usuario activo

    Son los CMS más hackeados, A parte de lo comentado puede ser un theme. La gente baja themes crackeados y luego se encuentra sorpresitas.

    Una vez hackeado, pueden subirte ficheros pero también pueden modificarte ficheros, y lo pudieron hacerlo hace tiempo, y detectarlo ahora.
     
  13. Soc

    Soc Usuario activo

    No, es para un VPS.
     
  14. copernico.es

    copernico.es Usuario activo

    Si es un vps con cPanel y tienes acceso root puedes instalar un pyxsoft, la licencia no es tan cara; te ayudará en un primer escaneo a detectar archivos maliciosos e impedir la subida de los mismos. Luego habría que profundizar en la segurización del propio vps y de los cms, pero esto ya sería cuestión de ponerte un sys admin o experto a ayudarte, y por supuesto ya entraría dentro de un presupuesto. Si necesitas ayuda házmelo saber en privado y podemos hablar sobre ello en detalle.

    Atentamente,
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·