Ftp pidió constantemente un archivo .exe, ¿qué puedo hacer?

Navega tus respuestas
3

Alquilé un servidor web ("servicio") en un sitio de alojamiento web que recientemente asumí que fue pirateado pero no estoy seguro de cómo ... Sé que se piratearon porque recientemente aparecieron de la carpeta algunos archivos y carpetas que aparecieron inesperadamente. Servidor FTP Eliminé todos los archivos y cambié la contraseña en todo lo relacionado con este servidor ... un par de días más tarde, los archivos volvieron a aparecer, así que los eliminé y aún no han aparecido, ahora todavía hay una cosa más que me está molestando si miro el archivo ".com" (que almacena las solicitudes al sitio web), crece hasta que me gustan 50 000 solicitudes al día :(! ¿Qué es más? Todas las solicitudes provienen de una dirección IP rastreada como Argentina, y preguntan para uno de los archivos .exe eliminados ... por lo que tengo entendido, están recuperando el archivo 404.

Una fila de ejemplo del archivo .com:
" IP del solicitante " - - [02 / Ago / 2012: 19: 24: 32 +0200] "GET /onlySMT.exe HTTP / 1.1" 404 3612 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident / 4.0; GTB7.3; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; BRI / 2) "

Ahora hay 50 009 filas como esta en el archivo de registro ... ¿Qué puedo hacer para detener esto?

Por cierto, las contraseñas que utilizo tienen una longitud aleatoria de 12 caracteres con alfabeto inglés, letras pequeñas y grandes y números.

Gracias de antemano por cualquier respuesta que sea muy apreciada

WBR

    
pregunta Cisum inas 02.08.2012 - 19:48
fuente

2 respuestas

4

Ese es el tipo de comportamiento que muestra una red de bots. Lo que puede suponer de la reaparición de los archivos eliminados es que su servidor ha sido "respaldado".

Cambiar las contraseñas no ayudará. Una limpieza total y la reconstrucción del servidor está en orden. Debido a que está 'alquilando' el servicio, deberá cerrarlo y obtener una nueva IP y un nuevo entorno en el servidor.

    
respondido por el schroeder 02.08.2012 - 22:22
fuente
2

Esta es una técnica común para distribuir ataques y virus: hackear un sitio web aleatorio, alojar los datos que desea distribuir y hacer que muchas personas vayan allí. O use el servidor como servidor de actualización para un virus que ya se ha propagado. Esto hace que sea mucho más difícil rastrear quién escribió el virus.

Lo que haría es:

  1. Reemplace el archivo exe con algo que muestre una alerta al usuario, indíquele que tiene un virus y debe pedirle a alguien que lo elimine (por ejemplo, llévelo a un taller de reparación). Quizás también contacte a una compañía de antivirus para obtener más instrucciones sobre cómo informar a los usuarios.
  2. Informar a mi anfitrión acerca de esto, pedir que me trasladen a otro servidor y decirme cómo podría suceder esto. Si se niegan a contar lo que sucedió, vaya a otro proveedor. O quizás pase a otro proveedor independientemente.
respondido por el Luc 02.08.2012 - 22:49
fuente

Lea otras preguntas en las etiquetas

¿Cómo imitar una emoción? Cuando una empresa le pide que pruebe la seguridad física, ¿cuáles son algunas de las técnicas que se podrían usar para ingresar?