Mi primer servidor crackeado

Bueno que fea sencacion es cuando alguien se mete en tu servidor sin que sea invitado. Bueno esta es mi primera vez. Creo me considero bautizado. Todo empezó cuando antes de salir hoy Sabado por la noche decidí meterme a la pagina web de mi server. Sentí algo lento la respuesta del web server ya que nadie debería estar accediendo a el porque es fin de semana. Decidi accesar por ssh a mi server y hacerle un update. No se porque me dio por correr el comando “w” para ver si había mas gente accesando a mi servidor. Era el usuario de la asistente de la oficina, para mi era una gran sorpresa ya que esa persona nunca en su vida ha usado ssh en su vida. decidi ver que procesos estaba corriendo. “ps -aux” y que veo en la consola, veo que ese usuario esta corriendo el comando “john”. Pues asustado pregunte rapida en el irc a mis amigos de linux.org.sv. Uno de ellos me menciono un tal Jack The Ripper. Decidi darle un kill all a ese comando y darle un kill a la sesion de ssh de ese usuario. Le cambie el password y le puse que no pudiera logear en el /etc/passwd con “nologin”, bueno lo hice con todos los usuarios menos con root y le cambie el password a root por uno mas complejo. Me recomendaron que corriera el rootkit hunter para ver si mi servidor habia sido comprometido, el programa mostro que unos programas como “login”, “kill”, “more”,”mount”, “logger”,”whereis” y”vipw” estaban con hash diferente. Al ver eso mejor decidí darle un shutdown al server. No arregle el servidor y lo pospuse para el lunes en la manana. Lo bueno que no le voy a dar la satisfacion al tipo que me jodio siga jodiendo dentro de mi server. Me voy a documentar sobre como evitar que me vuelva a pasar y tendre que contarle a mis amigos manana en los talleres lo que me paso. Bueno me considero bautizado.

Lea: John The Reapper

Root Kit.

7 thoughts on “Mi primer servidor crackeado

  1. No todo en la vida es perfecto, ciudadano. Hasta a Bill Gates le joden las cosas contimás a uno o a vos que no sos él. Pero te queda la experiencia…

  2. Gracias pero a Bill Gates c le joden las cosas x q usa Windblow$ si usara Unix o Linux fuera otro pedo. ;)

  3. Importante experiencia, pero algo no me ha quedado claro, no sé sobre que plataforma corres tu server *bsd o GNU/Linux, tampoco especificaste si configuraraste como corresponde Packet Filter o Iptables (según corresponda) si has montado un server de cara a la Net, como consejo, te dijo “no te consideres admin” cualquiera puede hacer un ./configure – make – make install, apt-get, etc.. pero no todos pueden administar sistemas.

    Yo soy *administrador* de servers en producción y experimentación personal, pero siempre estamos propenso, es por eso que la seguridad primero.

    Si tenías todo como correspondía (PF o iptables) no hagas caso de lo que te digo, solo sucedió….

    te recomiendo este manual de iptables, sólido :D
    http://www.pello.info/filez/firewall/iptables.html fue mi escuela :D
    salu2

  4. Kt0XD:
    Pues es un Gnu/linux (fedora core 1 Legacy) que tenia como 3 anos d estar en produccion. El problema fue dejar la sesion de SSH abierta a cualquier ip y unos passwords bien debiles. Da miedo que hay gente buscando servidores asi. El Iptables es un script medio decente y no le paso nada. Brute Force attacks. Eso me paso.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>