[Linuxcantabria] estoy siendo hackeado

Alex Perez quimicefa en gmail.com
Dom Dic 20 14:28:26 CET 2009 

Yo creo que no es un lince, porque esta mandando comandos para un servidor
web (POST /.../ ) a un servidor SSH ... así que ya me dirás ...

El 20 de diciembre de 2009 14:17, petirojo <petirojo en ya.com> escribió:

> On Domingo, 20 de Diciembre de 2009 13:37:40 Víctor Muñoz escribió:
> > On Sun, 20 Dec 2009 12:32:00 +0100
> >
> > Sergio Azogue <qeelocko en gmail.com> wrote:
> > > No creo que estén intentando entrar en tu sistema..... más que nada
> > > porque a no ser que guardes secretos de estado supersecretisimos
> ¿Porque
> > > alguien en la otra punta del mundo iba a querer entrar? (Aunque bueno,
> > > puede estar utilizando un proxy) Mas bien esto parece algun sistema de
> > > escaneo de vulnerabilidades que ha pasado por el rango que contiene tu
> > > ip.
> > > Si el cortafuegos te ha avisado y lo a detenido es que esta haciendo su
> > > trabajo perfectamente.
> > >
> > > Aunque seguro que alguno puede ayudarte si das un poquito más de
> > > información si la tienes como el log del cortafuegos por ejemplo.
> >
> > Exacto, revisando los logs de cualquier servidor web, por ejemplo, te
> > puedes encontrar un montón de script kiddies que han intentado explotar
> en
> > él todas las vulnerabilidades publicadas de cualquier sistema de gestión
> de
> > contenidos, lo tengas instalado o no (son pruebas de bulto, prueban un
> > montón de máquinas, y la que caiga, cayó). En otros tipos de servicios,
> > como puede ser SSH, te pasa lo mismo. En una máquina mía incluso llegué a
> > encontrarme que un tipo había intentado explotar una vulnerabilidad
> > solventada hacía ya años.
> >
> > Moraleja: mucha gente que se las da de juaker hace pruebas a bulto para
> > buscar sistemas débiles. Que te hayas enterado es señal de que justamente
> > tú NO sufrirás una intrusión. En cualquier caso, para asegurarte de hasta
> > qué punto te están dando por saco, revisa los logs de los servicios que
> > tengas abiertos.
> >
> > Como dice Sergio, si tuvieras secretos de Estado tendrías otros
> problemas,
> > como los intrusos de verdad (estos van a tiro hecho, empezando por
> fijarse
> > un objetivo, sin escanear a lo bestia).
> >
> > Saludos.
>
> Hombre , ya supongo yo que no es un lince precisamente, pero parece ser que
> si
> que ha intentado entrar como root en el sistema.
>
> Lo único raro que veo en los logs es en el /var/log/auth.log
> "
> Dec 17 20:03:55 culebre sshd[15448]: Bad protocol version identification
> 'POST
> /unauthenticated//..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..%01/..
> %01/..%01/..%01/..%01' from 116.9.95.1
>
> "
>
> Siempre puedo cerrar el servicio sshd, pero hay veces que lo utilizo para
> conectarme remotamente al ordenador. No hay alguna manera de restingir el
> rango de ip que pueden acceder al ordenador?
>
>
>
>
> _______________________________________________
> Linuxcantabria mailing list
> Linuxcantabria en linuca.org
> http://linuca.org/cgi-bin/mailman/listinfo/linuxcantabria
> ¿Conoces las sugerencias de uso? -> http://linuca.org/link/?l45
>



-- 
3rd Law of Computing:
Anything that can go wrSegmentation fault -- core dumped.

More information about the Linuxcantabria mailing list