Tengo un VPS que solo tiene instalado el servidor de medios Wowza. Recibí un informe de mi administrador de VPS de que mi VPS envía SPAM al atacar a otros servidores desde SSH. No tengo idea de cuál podría ser la razón de eso.
Utilizo MAC Terminal para acceder a mi VPS. ¿Es un virus? ¿Mi contraseña está comprometida? ¿Cómo me entero?
Detalles del administrador de VPS: "No es spam como en el correo electrónico no deseado, es spam de conexiones de consola SSH. El servidor se había estado utilizando con un bot para probar diferentes equipos SSH en todo el mundo".
Respuesta1
Entonces, ¿no quiso decir que, después de todo, estaba enviando spam (correo electrónico comercial no solicitado)? Quiso decir que estaba intentando realizar SSH en otros sistemas... edite su pregunta para dejarlo claro, ya que es completamente diferente a lo que ha escrito.
Volviendo al tema, esto significatu servidor está comprometido. Necesitasdesconéctelo inmediatamentey averiguarcómoeso pasó. Hay 2 causas probables:
- Servicios vulnerables, sin parches, en ejecución
- Contraseña SSH débil, adivinada o forzada, y has permitido inicios de sesión root a través de SSH
Este último puede ser fácil de identificar mirando los registros del sistema en busca de entradas de SSH, o posiblemente simplemente usando el lastcomando (ambos suponen que el atacante no tiene cuidado y trata de ocultar sus huellas).