[ubuntu-bo] Ataque SSH por phpMyAdmin, una triste historia ... :'(

Gary Ariel Sandi Vigabriel gary.gsv en gmail.com
Vie Ago 27 20:37:50 BST 2010 

2010/8/27 Mario César Señoranis Ayala <mariocesar.c50 en gmail.com>

>  Hola a todos,
>
> Hace unos minutos acabo de actualizar, sufrir, y por ultimo enterarme que
> hay una vulnerabilidad muy vergonzosa en phpmyadmin.
>
> Tengo cuatro servidores, dos con Debian y Ubuntu, mi servidor de 1 con el
> Debian 64bits, estaba reiniciando constantemente, cosa que atribuí al
> servidor de correo y php que estaban con mucha carga. Pero luego me di
> cuenta que comenzó a apagar y encender procesos ... líos con carpetas y
> permisos .. raros !!
>
> No hice mucho, por unas horas, luego a las 9pm escuche un ruido en mi
> oficina y fui a la cocina a revisar, y ahí estaba un enano con gorra que me
> dijo "Busca en tu carpeta /tmp, tal vez tengas un botnet instalado", yo
> respondí rápidamente "Uso Linux, no me fastidies enano con gorra" ... pero
> la curiosidad me imbadio y alli estaba ....
>
> */tmp/dd_ssh*
>
> Mi pobre servidor había estado mandando toneladas de correo !!! denyhost no
> lo detectaba por que no entraba por un canal convencional, mis proveedores
> dijeron que fue un ataque generalizado, y que hicieron un anuncio .... que
> no lei ...
>
> Bueno, elimine usuarios y recree permisos, por supuesto obligue a debian
> actualizarse, y revise mis otros servidores y estaban con toneladas de
> denegaciones de servicios en los logs ... buuuu era cuestion de tiempo.
>
> Los servidores con ubuntu están bien, creo que por que siempre tienen
> actualizados los paquetes y hay versiones más recientes que en Debian ...
> pero que susto pase ... :'( Ahora tengo phpmyadmin instalado desde fuentes y
> corriendo una maraña de scripts que monitorean los logs y mandan alertas.
>
> Estoy algo vulnerable ahora ... emocionalmente ...
>
> Revisen sus servidores, un abrazo a todos!
>
> Más datos → www.debian.org/security/2010/dsa-2034
>
> --
> Mario César Señoranis Ayalahttp://softwarelibre.org.bo/mariocesarhttp://twitter.com/mariocesar_bohttp://facebook.com/mariocesar
>
>
> --
> Lista de correo Ubuntu-bo Ubuntu-bo en lists.ubuntu.com
> Modifica tu subscripción en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-bo
> Sitio Web : http://ubuntu.org.bo
> Foro      : http://bolivia.ubuntuforums.org
> Microblogging : http://identi.ca/ubuntubo && http://twitter.com/ubuntubo
> Facebook  : http://www.facebook.com/group.php?gid=7292335819
> Canal IRC : #ubuntu-bo @ irc.freenode.net
>
>
>
O_O pero ese error era del 14 de abril, tus script de
actualizaciones automáticas DSA debería haberlo corregido al día siguiente
(15 de abril).


-- 
 .''`.  **Debian GNU/Linux**  | Gary Ariel Sandi Vigabriel
: :' :  *The Universal O.S.*    | gary[dot]gsv[at]gmail[dot]com
`. `'`  Linux User: 448533     | GPG Key ID: 8BAD86EC
  `-     http://www.debian.org | Debian GNU/Linux User
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-bo/attachments/20100827/9b916f7c/attachment.htm

Más información sobre la lista de distribución Ubuntu-bo