[ubuntu-bo] Ataque SSH por phpMyAdmin, una triste historia ... :'(
Mario César Señoranis Ayala
mariocesar.c50 en gmail.com
Vie Ago 27 17:24:03 BST 2010
Hola a todos,
Hace unos minutos acabo de actualizar, sufrir, y por ultimo enterarme
que hay una vulnerabilidad muy vergonzosa en phpmyadmin.
Tengo cuatro servidores, dos con Debian y Ubuntu, mi servidor de 1 con
el Debian 64bits, estaba reiniciando constantemente, cosa que atribuí al
servidor de correo y php que estaban con mucha carga. Pero luego me di
cuenta que comenzó a apagar y encender procesos ... líos con carpetas y
permisos .. raros !!
No hice mucho, por unas horas, luego a las 9pm escuche un ruido en mi
oficina y fui a la cocina a revisar, y ahí estaba un enano con gorra que
me dijo "Busca en tu carpeta /tmp, tal vez tengas un botnet instalado",
yo respondí rápidamente "Uso Linux, no me fastidies enano con gorra" ...
pero la curiosidad me imbadio y alli estaba ....
*/tmp/dd_ssh*
Mi pobre servidor había estado mandando toneladas de correo !!! denyhost
no lo detectaba por que no entraba por un canal convencional, mis
proveedores dijeron que fue un ataque generalizado, y que hicieron un
anuncio .... que no lei ...
Bueno, elimine usuarios y recree permisos, por supuesto obligue a debian
actualizarse, y revise mis otros servidores y estaban con toneladas de
denegaciones de servicios en los logs ... buuuu era cuestion de tiempo.
Los servidores con ubuntu están bien, creo que por que siempre tienen
actualizados los paquetes y hay versiones más recientes que en Debian
... pero que susto pase ... :'( Ahora tengo phpmyadmin instalado desde
fuentes y corriendo una maraña de scripts que monitorean los logs y
mandan alertas.
Estoy algo vulnerable ahora ... emocionalmente ...
Revisen sus servidores, un abrazo a todos!
Más datos ? www.debian.org/security/2010/dsa-2034
--
Mario César Señoranis Ayala
http://softwarelibre.org.bo/mariocesar
http://twitter.com/mariocesar_bo
http://facebook.com/mariocesar
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-bo/attachments/20100827/5cd420c7/attachment.htm
Más información sobre la lista de distribución Ubuntu-bo