[ubuntu-bo] Ataque SSH por phpMyAdmin, una triste historia ... :'(

Mario César Señoranis Ayala mariocesar.c50 en gmail.com
Vie Ago 27 17:24:03 BST 2010 

  Hola a todos,

Hace unos minutos acabo de actualizar, sufrir, y por ultimo enterarme 
que hay una vulnerabilidad muy vergonzosa en phpmyadmin.

Tengo cuatro servidores, dos con Debian y Ubuntu, mi servidor de 1 con 
el Debian 64bits, estaba reiniciando constantemente, cosa que atribuí al 
servidor de correo y php que estaban con mucha carga. Pero luego me di 
cuenta que comenzó a apagar y encender procesos ... líos con carpetas y 
permisos .. raros !!

No hice mucho, por unas horas, luego a las 9pm escuche un ruido en mi 
oficina y fui a la cocina a revisar, y ahí estaba un enano con gorra que 
me dijo "Busca en tu carpeta /tmp, tal vez tengas un botnet instalado", 
yo respondí rápidamente "Uso Linux, no me fastidies enano con gorra" ... 
pero la curiosidad me imbadio y alli estaba ....

*/tmp/dd_ssh*

Mi pobre servidor había estado mandando toneladas de correo !!! denyhost 
no lo detectaba por que no entraba por un canal convencional, mis 
proveedores dijeron que fue un ataque generalizado, y que hicieron un 
anuncio .... que no lei ...

Bueno, elimine usuarios y recree permisos, por supuesto obligue a debian 
actualizarse, y revise mis otros servidores y estaban con toneladas de 
denegaciones de servicios en los logs ... buuuu era cuestion de tiempo.

Los servidores con ubuntu están bien, creo que por que siempre tienen 
actualizados los paquetes y hay versiones más recientes que en Debian 
... pero que susto pase ... :'( Ahora tengo phpmyadmin instalado desde 
fuentes y corriendo una maraña de scripts que monitorean los logs y 
mandan alertas.

Estoy algo vulnerable ahora ... emocionalmente ...

Revisen sus servidores, un abrazo a todos!

Más datos ? www.debian.org/security/2010/dsa-2034

-- 
Mario César Señoranis Ayala
http://softwarelibre.org.bo/mariocesar
http://twitter.com/mariocesar_bo
http://facebook.com/mariocesar

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-bo/attachments/20100827/5cd420c7/attachment.htm

Más información sobre la lista de distribución Ubuntu-bo