La URL extraña se mostró cuando telnet a mi servidor [cerrado]

2

No sé cómo preguntar esto porque esto es algo nuevo para mí. Intento con telnet a mi servidor y el resultado fue el siguiente:

Trying <IP>...
Connected to www.tjto6u0e.site.
Escape character is '^]'.

Luego probé netstat -a | grep www.tjto6u0e.site , encontré esto:

Estoy usando ubuntu y estaba comprometido anteriormente, pero he escaneado mi servidor y borro todos los archivos infectados, incluido el cambio de mi puerto ssh predeterminado (22) a otro, pero este, no entiendo qué es esto ¿Es esto normal o algo de lo que debería preocuparme?

Verifiqué esta IP 43.252.11.213 desde netstat -an y redirigí a una URL bulan.loket.co.id . No tengo idea de lo que está pasando, ¿significa que mi sitio está copiado a otro dominio?

    
pregunta spacetrack 22.08.2017 - 04:15
fuente

2 respuestas

26
  

es normal [que el inicio de sesión de mi servidor indique un dominio diferente]

Por supuesto que no.

  

Estoy usando ubuntu y estaba comprometido antes

Bueno ... no deberías haber continuado usándolo.

  

pero he escaneado mi servidor y borro todos los archivos infectados

Los escáneres de virus en una máquina ya comprometida son bastante inútiles. (Incluso más inútil que en otras ocasiones).

  

incluido el cambio de mi puerto SSH predeterminado (22) a otro

  1. ¿Esto importa?
  2. ¿Importa esto si está utilizando telnet ?

¿Y por qué estás usando telnet?

  

Revisé esta IP 43.252.11.213 ... y redirigí ...

También deberías haber llamado esto nunca en un navegador.

  

¿significa que mi sitio se copia a otro dominio?

No. Bueno, tal vez, pero ese no es el problema. Hasta que se demuestre lo contrario, suponga que alguien más tiene control total sobre su servidor (incluido todo el contenido, pero también todas las otras cosas que la computadora puede hacer).

Lo que debes hacer ahora:

  1. Intente averiguar cómo se comprometió su servidor y arregle eso (la probabilidad de que encuentre la razón es baja). También cambie todas las contraseñas, acostúmbrese a las actualizaciones regulares de software, claves SSH, fail2ban, etc.
  2. Limpie su servidor y vuelva a comenzar instalando un sistema operativo, todo el software necesario y todas las configuraciones que necesita / desea.
respondido por el deviantfan 22.08.2017 - 05:15
fuente
7
Trying <IP>...
Connected to www.tjto6u0e.site.
Escape character is '^]'.

El nombre de host dado después de Connected to es solo la resolución DNS de la IP que le dio a telnet. Lo único que realmente puede mostrar es un DNS mal configurado, aunque supongo que si se configuró correctamente, puede ser un signo de acceso no autorizado.

La salida de netstat (sin el uso de -n ) también tiene una resolución de DNS, por lo que tiene sentido que veas el mismo nombre allí.

El resumen es que lo que se muestra no es suficiente evidencia de acceso no autorizado sin más contexto, pero tampoco es evidencia de que no haya.

    
respondido por el user133831 22.08.2017 - 12:33
fuente

Lea otras preguntas en las etiquetas