Comprobando si un servidor está comprometido

Navega tus respuestas
0

Realizo hosting web / shell gratuito / de bajo costo como organización sin fines de lucro (Con un mismo amigo y co-fundador) desde 2007.

Estamos en CentOS 6 + CPanel, y desafortunadamente todavía estamos financiando a la organización con nuestro propio dinero. Desde el año pasado, hemos notado algunos subdominios extraños, dominios adicionales y dominios de estacionamiento creados para sitios web de suplantación de identidad, generalmente los suspendemos o terminamos hasta que notamos que fue aleatorio y, a veces, en cuentas de clientes confiables o incluso en las nuestras (cuentas de administrador personal) .

Hace 2 meses, alquilamos un servidor nuevo y más sólido, lo reconfiguramos desde cero y migramos la cuenta de CPanel, cambiamos las contraseñas, evitamos el inicio de sesión sin contraseña y cambiamos nuestra clave de acceso a WHM, pero los dominios / subdominios "extraños" siguen apareciendo y BuyCpanel (nuestro revendedor de licencias de CPanel) nos dijo que parece ser un servidor comprometido y debemos investigarlo.

Nos gustaría investigarlo nosotros mismos, pero no sabemos por dónde empezar o cómo rastrear el origen del "compromiso", hemos comprobado las conexiones raíz, las conexiones FTP, las conexiones WHM, no podemos encontrar un rastro de un script creando los subdominios. ¿Puedes darnos algunos consejos?

Gracias

    
pregunta Max13 08.06.2014 - 05:49
fuente

2 respuestas

1

Todas las recomendaciones comienzan diciéndole que desconecte el servidor de Internet, algo que podría no ser posible aquí. El problema es que un atacante determinado puede sortear cualquier cambio que haga "en vivo" más rápido de lo que puede cambiar las cosas.

Uno de sus mayores problemas es su confianza en software de terceros, como CPanel. Esto muestra vulnerabilidades regulares que permitirían a los atacantes obtener acceso remoto y privilegios elevados. A menos que pueda mover sus funciones de administración de dominios y DNS fuera de CPanel y deshabilitarlas allí, no estoy seguro de que pueda solucionar el problema por completo.

Tal vez recomiendo mover esa parte del servicio a un servidor secundario que no utiliza CPanel y tiene una instalación de servidor absolutamente mínima. Asegúrese de que todas las cuentas tengan contraseñas largas y no conecte los dos sistemas hasta que haya endurecido completamente el nuevo servidor. Debe asegurarse de que IPTABLES esté configurado correctamente y de haber movido cualquier acceso remoto a puertos no estándar (por ejemplo, no deje SSH en el puerto 22 o nunca podrá detectar problemas reales en sus registros por los constantes intentos de piratería) .).

También debe informar a todos sus usuarios sobre el problema actual. Mantenlos informados.

Además, ¿cambió las contraseñas y los certificados de su cuenta después de actualizarlos después de Heartbleed?

    
respondido por el Julian Knight 08.06.2014 - 23:37
fuente
1

Si desea comenzar, comience escaneando la carpeta public_html de cada cuenta. Si tienes muchos dominios, te llevará mucho tiempo. Básicamente, desea buscar la palabra 'base64_encode' en todos los archivos. Puedes hacerlo comprimiendo public_html y descargándolo desde cpanel. Una vez descargado, debe descargar otro software llamado textcrawler ( enlace ) que le facilitará encontrar cierta palabra en la carpeta.

En el lado del servidor, puede instalar un firewall como CSF ( enlace ), mod security y escanear clamav.

Además, puede verificar si el sitio web contiene malware o no yendo a sitecheck3.sucuri.net.

    
respondido por el Err0rr 09.06.2014 - 10:09
fuente

Lea otras preguntas en las etiquetas

Autentificación ChangeCipherSpec Impedir un script del lado del servidor de un acceso directo a la URL