Que significa [Conexión SSHD ESTABBLISHED] ?

Hola.

Es alarmante encontrar SSHD ESTABBLISHED.

Realmente significa "realizando flujo de datos" ?

Sucede que encuentro ésto:

http://www.comunidadhosting.com/att...0/?temp_hash=851fd585282e6c39d78642411edf7c67

y realmente me alarma.

Por favor me orientan sobre ése resultado.

Gracias

 

No necesariamente quiere decir que alguien ha ingresado vía ssh, lo que quiere decir es que hay una conexión abierta entre ambos hosts, probablemente un ataque de fuerza bruta
Puedes buscar en /var/log/secure para ver los intentos o conexiones ssh

 

Oh...

Que GRAN ALIVIO ME DAS

Por favor, cómo puedo observar la IP que corresponde a ése intento de conexión ?

Dado que tengo cPanel con CSF,
¿por que luego de 27451 segundo ésa conexión desde RUSIA
no ha sido bloqueada, cortada ?

... se supone que CSF y cPanel cortan todo luego de 5 minutos de intentos.

Estoy errada?

Gracias de nuevo.

 

CSF bloquea solo si lo has configurado correctamente para ello, la conexión no tiene 27451 segundos, ese es el PID
Puede ver que está sucediendo y las ips involucradas con cat /var/log/secure|grep sshd|more o cat /var/log/secure|grep "Failed password"

 

Prueba este comando

CODE, HTML o PHP Insertado:

cat /var/log/secure|grep "Failed password for root"|awk '{ print $11 }'|sort|uniq -c |sort -n

debe darte las ips atacantes y el número de intentos de cada una

 

De nuevo, gracias Datacenter.

Tengo un dedicado, y obtengo ésta rspuesta:

CODE, HTML o PHP Insertado:

root@host [~]# /var/log/secure|grep "Failed password"
-bash: /var/log/secure: Permission denied
root@host [~]#

... tengo algo mal configurado?

 

No estás colocando el comando... te comiste el gato: cat /var/log/secure|grep "Failed password"

 

Te agradezco mucho nuevamente, ahora más por tener tanta paciencia de corregirme con amabilidad.

Te ofrezco mis diculpas
y un beso.

<3


PD:
La IP con más intentos es

58.218.204.241

de china, con 45.

.. existirá manera de saber si alguno de los usuarios por medio de un PHPmalicioso ha logrado escakar hasta ROOT ?

(por ejemplo con los virus c99, WSO 2.5.1, r57shell)


La historia es que detecté un archivo llamado c99.php
en una cuenta de usuario que estaba corriendo comandos extraños...

el comando era:

CODE, HTML o PHP Insertado:

10041 coco 20 0 45072 2160 876 S 0.0 0.0 0:00.17 /sbin/syslogd
10055 coco 20 0 45072 2156 876 S 0.0 0.0 0:00.13 /sbin/syslogd
10105 coco 20 0 45072 2148 876 S 0.0 0.0 0:00.06 /sbin/syslogd

y debido a que estaslineas estaban por cientos, detuve ésa cuenta.

Al mirar su /home/coco/

descubrí el archivo c99.php

el usuario me dice que él no lo subio y...

bueno, podria yo saber si "coco" ha logrado subir sus privilegios a "root" ??

Es decir, no podré detectarlo buscando LOG de conexiones de root
por que se ha conectado como "coco" y luego, quizá, halla pasado a ser ROOT.

Gracias de nuevo por cualquier orientación.

 

tantos años en foros y nunca antes me habían dado un beso... recibido

Back to business:

En este punto, tu servidor ya en cierto grado ha sido comprometido, puede ser tan leve como un CMS desactualizado y vulnerable que algún hacker ha explotado y logrado subir archivos, comprometiendo solo la cuenta local o tan extenso como una escalación a root, difícil saberlo con tan pocos datos, por lo que el mejor consejo que te puedo dar es que busques la ayuda de algún profesional, que verifique que el servidor no ha sido comprometido y realice un hardening y optimización del servidor

Si alguien ha pasado a root con sudo, esto queda logueado en /var/log/secure pero ya los logs no son del todo confiables, lo primero que hará un hacker que no quiere ser detectado es precisamente borrar cualquier huella en logs, deberás buscar si hay archivos alterados en las fechas que coincidan o posterior a la subida del shell y también detectar la forma como fue subido buscando en los logs de acceso de coco y en sus logs ftp

En el foro te recomiendo el usuario @Skamasle que se dedica a estás cosas, no tengo experiencia directa trabajando con él pero puedo atestiguar que conoce del tema de seguridad

Suerte!

 

Te recomiendo que cierres las conexiones externas desde el firewall:

CODE, HTML o PHP Insertado:

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Y tal y como ya te ha indicado @Datacenter1 cambies el puerto del ssh en el archivo de configuración /etc/sshd_conf/

A parte sería buena idea instalar fail2ban y Portnoking.

Salu2,

 

Las reglas posteadas por @f.villalba solo dejarán tu servidor totalmente desconectado, no dudo de su buena intención pero son potencialmente catastróficas, NO las apliques

 

Efectivamente. Luego ya cada uno crea sus propias reglas. Tendría que hacer una regla para aceptar el tráfico de ssh.

Yo para estar seguro aplico de entrada dicha política y luego voy creando las reglas y abro lo que necesito.

 

Si pero para un usuario novato que probablemente lea el tema y decida copiar y pegar lo dejará fuera del servidor en un instante, por eso mi advertencia

 

Muchas gracias.

Tienen alguna idea de que pueden ser
esos comandos:

CODE, HTML o PHP Insertado:

10041 coco 20 0 45072 2160 876 S 0.0 0.0 0:00.17 /sbin/syslogd
10055 coco 20 0 45072 2156 876 S 0.0 0.0 0:00.13 /sbin/syslogd
10105 coco 20 0 45072 2148 876 S 0.0 0.0 0:00.06 /sbin/syslogd

???

 

no lo se pero no se ve bien, puedes ver los permisos, propietarios y contenido de /sbin/syslogd parece malware
Es un servidor cPanel? mata todos los procesos usando /sbin/syslogd y quita permisos, algo como chmod 000 /sbin/syslogd pero antes verifica el contenido, propietario, fecha de creación, etc

 

Has pasado el chkrootkit para ver si te han subido una shell php? Que por lo que posteas es seguro que si. Yo casi que iria pensando en formatear el server y lo haría más seguro.

 

En un servidor quedará OFF el acceso y tendrá que entrar en modo rescue o reiniciar el servidor, así que de nada sirve, tendría que meterlo en un script, pero si hace drop a todo

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Como va a configurarlo si no podrá acceder ni el, hay que dar más detalles en estos casos.


Tal cual te comento @Datacenter1 ( gracias por la recomendación )

Por otro lado, si tienes el servidor actualizado y según los casos que he visto ( muchisimos servidores con c99 y otras shells, no creo que tenga root ya que ni se molestan en intentar acceder al root en el 90% de los casos, lo usan más para enviar paquetes por UDP o enviar mails masivos.

Aunque lo normal es revisarlo todo.

 

Sí, es cPanel con csf.

Muchas gracias foreros.