¿Mi servidor ha sido comprometido? [duplicar]

Navega tus respuestas
1

- gracias a todos, esto se ha resuelto, vea mi respuesta a continuación:

Creé un servidor Debian / OpenVPN hace varios meses para uso privado, pero en los últimos dos días he notado algo extremadamente inquietante y extraño.

Ocurre solo con una única búsqueda en Google, pero solo puede recrearse mientras está conectado a través de OpenVPN. Ya he intentado cambiar los servidores DNS / diferentes computadoras / etc ...

Esto es lo que sucede:

Voy a news.google.com, busco la cadena 'russia syria'. Cuando hago clic en el enlace "Explorar en profundidad", aparece una página de resultados.

Sin embargo, esta página ahora parece incluir enlaces que redirigen a "search.news.cn".

Parece que solo hace esto para esta búsqueda en particular.

Cuando accedo a la página de Google a través de wget en el servidor, se despliega el HTML que incluye enlaces similares.

El servidor OpenVPN está ubicado en Canadá y no estoy en China.

¿Alguna idea sobre lo que podría estar pasando?

  • También ejecuté rkhunter que no detectó amenazas
pregunta KauriNZ 20.10.2015 - 12:38
fuente

3 respuestas

1

Parece que los servidores DNS no fueron utilizados por la configuración del servidor OpenVPN por los clientes. En su lugar, los servidores DNS listados en los servidores /etc/resolv.conf todavía se estaban utilizando.

Estos servidores se configuraron a los valores predeterminados para mi proveedor de servidor en la nube. Una vez cambiado la inyección se detuvo.

Si algún sistema se vio comprometido, puede haber sido de esos sistemas y no de mi servidor en la nube individual.

    
respondido por el KauriNZ 20.10.2015 - 16:22
fuente
1

Solo puedo suponer que ha creado un servidor OpenVPN utilizando una plantilla o accediendo a dicho servidor VPN a través de un proxy o si el servidor está infectado, si es posible que estén asociados por algún problema indisciplinado, esa es la respuesta probable.

Si desea crear un servidor OpenVPN, sugiero un SeedBox que se encuentra en los Países Bajos para proporcionar problemas de anonimato y sin ancho de banda. (Suponiendo que el OpenVPN es el error)

Si desea un proxy, no intente a menos que tenga que hacerlo, ya que es filtrable.

Si está infectado (lo que es más probable), en ese caso, deberá restablecer su servidor VPS al Bloque 1 (Nueva instalación).

    
respondido por el Coloured Thought 20.10.2015 - 12:47
fuente
1

Usted dijo que el servidor OpenVPN está en Canadá. ¿Lo es? ¿Estas seguro de eso? ¿Cómo sabes que no te estás conectando a una VPN de China continental? (es simplificado, no tradicional)

Aquí hay algunas posibilidades:

  1. Google detectó que el servidor al que te estás conectando está en China usando geolocation , pero no en China. Esto podría suceder si el propietario de dichas direcciones cambiara relativamente recientemente.
  2. El servidor al que te estás conectando está infectado. Esta sería una de las piezas de malware más tontas que jamás haya visto.
  3. Su programa de VPN lo está conectando a la incorrecta VPN.
  4. Hay un error en el agregador de noticias de Google.
  5. Se está conectando a una VPN en Canadá en una ubicación donde hay una gran población china , por lo que Tendría sentido incluir esos. Toronto? Vancouver?
  6. Tienes chino como paquete de idioma instalado en tu computadora, y tu navegador lo detecta e informa a Google. Sin embargo, dijiste que esto no está sucediendo a menos que estés conectado a la VPN, por lo que es poco probable que se trate de este problema. Creo que es muy probable que #5 , pero podría estar equivocado.

Dijiste que solo sucede durante una búsqueda, ¿correcto? ¿Tengo razón al suponer que si busca otras cosas en las noticias y explore in depth , no aparece? Es posible que estos resultados no existan en el sitio web de Xinhua .

También es posible que Google esté devolviendo resultados relacionados con esos.

    
respondido por el Mark Buffalo 20.10.2015 - 18:52
fuente

Lea otras preguntas en las etiquetas

¿Cifrado que el propio proveedor de servicios no puede descifrar? ¿Las cookies solo de Https son vulnerables a los ataques CSRF?