Como evitar Hackers en mi VPS!!!

Estimados

Junto con saludar a todos los foreros les comento que hace un tiempo contrate un VPS, pasé todos mis clientes que tenia en un hosting reseller y quedo andando todo correctamente. Hice los escaneos de seguridad de WHM y realice casi todo lo señalado por este scaneo. Hoy me llama un cliente diciendo que le han hackeado su cuenta. Reviso y aparece un Bugs Bunny con la leyenda "Haxored by Asparux.."

Luego de revisar, encuentro algunos scripts php y ahora los estoy estudiando para ver cual fue la forma en que accedieron a la cuenta.

Si alguien conoce o sabe como lo hacen, o que hay que realizar para evitar estos ataques estare muy agradecido. Aparte que servira para futuros miembros del foro.

Saludos a tod@s.

 

Contraseñas inseguras, fuerza bruta, puertos abiertos y sin firewall, CMS sin actualizar, software nulled con premio...

 

Gracias por comentar, te cuento que el default de las contraseñas las tengo en 80. Para fuerza bruta uso el CPHulk, firewall tengo el configserver sec&firewall. El cliente que fue hackeado usa en su sitio wordpress, y me temo que esta desactualizdo pero creo que no me corresponde actualizar su sitio. Con software nulled no se ha que te refieres. Saludos y Gracias por la ayuda.

 

Software de pago que fueron modificados por terceros que quizá puedan tener acceso remotamente y tu cliente no sabe y utiliza...

mira el log todo queda gravado, quizá le subieron una shell en ese wordpress desactualizado

yo utilizo el servidor perfecto ispconfig3, silencia a la shell en 4 capas de seguridad
bloquea luego de 5 intento fallidos por ftp, shell o lo que sea por 8 minutos



Ispconfig3 Rules

 

Si tienes un problema de seguridad, ni te queda todo grabado en ningún log, ni te sirve de nada ningún sistema den bloqueos para ataques de fuerza bruta.

Deberías pasarle el dato de tu "servidor perfecto" a Sony que son tan idiotas de no usarlo y van y los hackean

Anda piensa un poquito antes de contestar hombre....

 

un Stalker ¿tan famoso soy?


Todo queda gravado si no sabe cómo mejor cállese
yo sé que es un proveedor brillante, al menos sócrates creé saber que no sabe y ya algo sabe
el mundo es más grande de lo que usted creé

 

Un poquito de ortografía por favor...
Me parece gracioso que tengas un post en el que ni siquiera sabes que pasa en tu VPS y vengas a enseñarnos a los demás como se hacen las cosas, en fin, así va el mercado...

 

Hay que protegerse más señor sabelo todo
escoje el pastel ¿cuál es su IP?

190.41.11.41
190.209.208.41

 

Pues mira que además de esos IP, tenemos como unos 512 y ?

Cuanta tontería hay que aguantar Dios mío.....

</fin>

 

SQL Injection ayuda con mod_evasive
Seguridad por oscuridad ServerProd, esconder versión de bind.
Capas nmap y bloqueas ICMP ping echo
Envias a tus clientes que actualizen los CMS
Envias a tus clientes boletín que actualicen su SO aplicaciónes programas y tengan firewall instalado
En el server port noking, permisos chmod, particiones, grsecurity, fork bombs desactivas compilers con chmod 000

Te recomiendo que te leas el LPIC 101-102. El 103 era de seguridad solamente.

Lo mejor es vender servidores vps y le vendes la actualización del CMS a tu cliente.

 

Seguramente SQL injection. Instala mod_evasive y mod_security.
http://www.ansoncheunghk.info/article/two-important-modules-secure-your-apache

Para el mod_security usa las reglas de OWASP.

 

Bueno por donde hay que empezar por la seguridad es por tus equipos de casa y oficina:

sudo aptitude install nmap en Debian para instalar nmap. Te montas una vm con virtualbob y haces un nmap 192.168.1.1-255

Con nmap llamas a nmap, el 192.168.1.1 es la pasarela de red por defecto si no la sabes y estás en Windows: Inicio - Ejecutar: cdm y tecleas ipconfig. Aunque por defecto es 192.168.1.1 y el parametro -255 es para escanear los 255 equipos de una clase C incluido el router.

Una vez tengas el resultado sabes si tienes o no firewall activado. Cierras el puerto ssh del router ya que seguramente tu isp al no ofrecerte firmware sea vulnerable al shellshock o vas y compras un TP-Link o llamas y le dices que te actualize el firmware (hijos de su madre... al no dar el firmware).

Te creas cuenta estandart. No uses la de admin para navegar por internet.

Activas la UAC aunque haya exploits por internet a protección alta.

Si no quieres pagar el antivirus instalas AVG o el security esentials de microsoft. Si no te recomiendo Kaspersky o el norton internet security. Y para el malware windows defender y malwarebytes anti malware. Activas actualizaciones automáticas. No uses p2p en la misma máquina con la que trabajas. te montas una VM y lo instalas allí. Desactivas servicios que no vas a usar. Busca en google harden windows 7.

Controles X en el navegador mucho cuidado. Flash y javascript actualizado a tope siempre.

Todo esto antes de ponerte a securizar el vps. Como ves hay trabajo.

A mi me flipa la gente que dice que quiere securizar su servidor sin hacer esto antes.

La contraseña de la wifi mínimo WPA2. Con tropocientos números caracteres, minusc, mayusc. etc. simbolos.

 

Espera que las SQL Injections también quedan grabadas en el log. Entonces por que gohot puedo hackear a sony y estos no hicieron nada contra sql injection si estás según tu quedan grabadas? En el log de apache también queda grabado que te han subido una shell a la tmp? No lo sabía...

Te referiras a las tty o consolas virtuales no? Por que lo de silenciar a la shell en 4 capas de seguridad...

Eso lo hace el fail2ban no el ispconfig.

También en el router recomiendo desactivar el protocolo WPS y hacer tres particiones en Windows. SO, programas y datos y la de datos modo solo lectura para backups. Para administrar montarse una VPN.

 

Muchas gracias a todos por la ayuda. Eres un GRANDE F.Villalba. Gracias por la info. Saludos

 

Mod_security será ?

El evasive es para DOS y cosas así.

 

Tambien si puedes invertir podrias comprar e instalar ConfigServer eXploit Scanner y dejar activo el servicio de cxs Watch is starting el cual te alerta si se subio algun xploit y tambien te avisa de scripts desactualizados aunque claro el costo de la licencia es de 60 USD pero las veces que lo eh utilizado a funcionado muy bien.

 

Esto que voy a decir es una perogrullada y una payasada, pero no me puedo resistir

La única forma segura es apagando tu VPS

Sorry por la chorrada. Hoy tengo día revoltoso (again)

 

Como consejo básico es tener un kernel estático para que no se puedan cargar módulos y tener mayor seguridad para evitar rootkits. Usar PAM para la gestión de contraseñas. Desinstalar software que no se usa. Desactivar compiladores. chroot. noexec etc. en el tmp. exec en el disable_functions. Son algunas ideas.

Salu2,

 

Vaya que mantener un servidor seguro lleva trabajo considerable, y es posible si implementas los consejos básicos que sugieren en esta web: http://goo.gl/4SlwVu

 

El problema que te ocurrió se debe a un Bug en Cpanel. Para que el hacker pudiese explotar el bug, tuvo que darse una de las siguientes situaciones:
1. El firewall abierto, desactivado o mal configurado.
2. Contraseñas de root o contraseñas de cuentas de usuario sencillas.
3. El CMS desactualizado, sin parchear o con algún plugin o tema instalado con virus.

Espero serte de ayuda, saludos