Avisos de escaneos y de fuerza bruta en mi wervidor

Ged · 03-jun-2008, 20:53

Estoy recibiendo mails de aviso alguien intenta hacer algo no muy bueno a mi servidor.

desde el servicio técnico me dicen que con el firewall es suficiente, yo he hecho un backup completo y acabo de cambiar la contraseña por una mucho más potente

os dejo algunos trozos de los mails

Cita:

Rootkit Hunter 1.2.7 is running

Determining OS... Unknown
Warning: This operating system is not fully supported!
Warning: Cannot find md5_not_known
All MD5 checks will be skipped!

Checking binaries
* Selftests
Strings (command) [ OK ]

* System tools
Skipped!

Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'... [ OK ]
ADM Worm... [ OK ]
Rootkit 'AjaKit'... [ OK ]

Y de este otro tengo decenas

Cita:

The remote system 81.210.89.250 was found to have exceeded acceptable login failures on server75.micfo.com; there was 16 events to the service sshd. As such the attacking host has been banned from further accessing this system. For the integrity of your host you should investigate this event as soon as possible.

Executed ban command:
/etc/apf/apf -d 81.210.89.250 {bfd.sshd}

The following are event logs from 81.210.89.250 on service sshd (all time stamps are GMT -0500):

Jun 3 12:55:14 server75 sshd[30863]: Failed password for root from ::ffff:81.210.89.250 port 37918 ssh2
Jun 3 12:55:14 server75 sshd[30864]: Received disconnect from ::ffff:81.210.89.250: 11: Bye Bye
Jun 3 12:55:16 server75 sshd[30877]: Failed password for invalid user admin from ::ffff:81.210.89.250 port 50473 ssh2

¿qué puedo hacer?? O es cierto que con el firewall del servidor es suficiente??

Un saludo

ferranvillalba · 04-jun-2008, 02:20

Creo que te estan intentando colar rootkits, o ya te los metieron.

Si rkhunter te da este aviso, esque te los an colado ya.

Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'... [ OK ]
ADM Worm... [ OK ]
Rootkit 'AjaKit'... [ OK ]

Sobre ADM Worm: http://www.viruslist.com/en/viruses/...?virusid=23854

http://www.yourdictionary.com/adm-worm-of-1998

Apolo · 04-jun-2008, 05:49

Hola Ged,

Si tu servidor es administrado o manejado, entonces deja que ellos se hagan cargo.

Si no lo es, te sugiero firmemente que contrates un servicio manejado.

Los servidores, cualquier servidor o equipo conectado a Internet, reciben decenas o cientos de "escaneos" en busca de vulnerabilidades y también intentos de acceso con multiples usuarios y claves. Eso es algo "normal", podría decirse.

Saludos,

Ged · 04-jun-2008, 06:03

Es manejado

y no sé que es eso de los rootkits

dejaremos que lo solucionen

Apolo · 04-jun-2008, 06:46

Hola Ged,

Los rootkits son básicamente programas que una vez han sido instalados en el servidor, llevan a cabo las tareas para los cuales fueron programados, de manera oculta, sin que puedan ser detectados.

Saludos.