[Resuelto] Posible intrusion en mi sistema

    Que tal, hace poco instale el panel con un nuevo dominio y demás, es decir la web todavía no tiene instalada ninguna web o cms, solamente el panel, fail2ban y poca cosa mas.


    Hoy revisando los logs me doy cuenta de esto, y es como si estuvieran realizándome peticiones y consultas a la base de datos para sacar el user y pass de los usuarios, además por fuerza bruta con diccionario, se puede ver aquí en este código:




    Así se repite y es un continuo que lleva además unas semana o así por lo menos, instale el panel el día 17 y el 19 empezó el asunto por lo que veo en los logs.


    Según he visto el sqlpluging es lo mismo que uso el panel para crearme a mi el user y mis cuentas de correo.


    Esto me paso a los dos días de instalar el panel, y solo tengo el panel es decir ninguna web todavía subida ni nada, quería arreglar un tema de que me manda a spam Hotmail y no quise instalar ninguna web hasta dejarlo resuelto.


    Esto mismo me paso hace unos meses también y pensé que era alguna web que me había traido porquería y pare ese servidor. Monté este nuevo y ahora me pasa lo mismo y no tengo webs, no se si es cosa del panel o de OVH que es donde tengo este VPS.


    Es un debían actualizado, pero me temo que sea alguna vuln, pues han conseguido hacer como si fuera localhost y realizar las peticiones, o le hacen las consultas al sql pluging de alguna forma y este les responde.


    Nadie le pasa algo parecido ??? alguna sugerencia ??? ahora me toca investigar sobre el sql plugin ;).


    Nota: antes me lo hacia con mi hostname, pero ahora me lo hace con este no se por que :/


    Saludosss

    Si es tan continuo como dices, yo iria quitando las funciones php de los dominios a ver quien es el culpable.


    Y bueno los vps de ovh..... yo te lo digo por mis maquinas la gran mayoria los tengo baneados por que estan siempre o scaneando o mandando correos, son un puro foco de todo lo que se pongo de por medio


    Pero no quiere decir que tu problema este relacionado con ello

    Que tal, como te comento no tengo ningún dominio actualmente por eso pienso que pudiera ser algo del panel, alguna vuln o algo, solo tengo el dominio que ya sabes pero solo el dominio que uso para los correos y pruebas nada montado de cms ni web.


    Es una maquina solo con el panel instalado y fail2ban y poco nada mas.


    Alguna sugerencia ??? gracias saludosss

    Yo sigo apostando mas por un problema tuyo, no creo que sea del panel si no tendriamos un serio problema no tú si no todos.


    A ver si te han sacado algun pass por fuerza bruta, mira las keys ssh a ver si ves alguna nueva, mira log los de autentificacion, no se yo miraria hasta debajo de las piedras, quitale la funcion mail al dominio a ver como hace el login, joe es ir cerrando puertas hasta que al final das con la llave.

    Que tal, a ver te comento, la maquina está recién instalada, tiene lo básico de debían mas el panel, solo apunta a el un dominio y ese dominio no tiene ninguna web.


    A ver yo he puesto snifer en el puerto 80 externo, y en el interno que usaba el para comunicarse con sql, el 3306.


    en el externo no pasaba nada, es decir desde el puerto 80 no llegaban los intentos de login.


    Luego en el de sql local en mi "lo", no veía tampoco esas consultas por el sniffer, y en cambio si veía los intentos constantes en el autlog. ¿¿ No tendría que apareces esa comunicación en el sniffer si esta haciendo las consultas ???


    Por ahora el ataque a cesado, es decir por un problema de configuración y cambio que había realizado en mi servidor no a podido sacar el user y pass bueno de la bd, no comento lo que es para no dar pistas si es un ataque, pero afortunadamente no han podido sacar user y pass del correo.


    A ver lo comento aquí por si pudiera ser algo del panel y fuera yo el primero en darme cuenta, o igual pudiera ser algo de ovh y por eso hacen as consultas como si estuvieran en mi red interna, no se.


    Mi cuestión es enterarme que hace ese plugging y como alguien a podio acceder desde fuera y hacer las preguntas a la bd como si estuviera dentro, pero ahora ya no me atacan y no puedo seguir investigando.


    Se supone que si esta haciendo bruteforce a mi base de datos es por que no conoce el pass de root y quiere buscar como acceder a ella, con lo cual dentro de mi maquina no está o esta con user sin privilegios.
    Se que sabe el hostname de mi maquina y con eso intenta formar combinaciones para sacarme el user y pass de los emails, y con ello supongo intentaría acceder a la maquina, o usar mis cuentas para mandar spam, cosa que no a realizado de momento.


    He pensado en que como es un vps de ovh pudiera estar en el nodo y desde una maquina conectarse a otras y demás, por que otra cosa no se me ocurre.


    Respecto a lo de desactivar la función mail del dominio no sabia como hacérselo al panel, coméntame desde donde pls, mas que nada pasa saberlo en futuras ocasiones.


    Bueno seguiré investigando y a ver que pasa y si se repite, mantendré informado y seguiré revisando logs, gracias por tu ayuda como siempre, espero no sea cosa del panel y me pasara a mi de casolidad y estén tratando con algún zeroday.


    Saludossssss

    La funcion del mail, @Nuxwin lo iba a poner el Funciones deshabilitadas eso lei por ahi en algun post que tenia esa idea, yo he montado la 1.14 y aun no esta, pero puedes hacerlo manualmente desde la consola dependiendo si tienes fpm o fcgi la ubicacion es distinta pero en disable_fuctions ya tienes unas pocas open_basedir, phpinfo, exec etc.... pues al final ,mail


    Pos si yo mire mis logs y no me he encontrado con nada de eso espero no te pase mas..... pero bueno tambien nos podria dar alguna luz sobre el tema.
    Si te vuelve a ocurrir es mirar que esta ejecutando todos los procesos activos saldra el origen de la llamada por ahi si que no pasa desapercibida

    Que tal, ante todo cuando digo del panel no me refiero por el panel en si, si no por alguna aplicación relacionada con el mismo o configuración errónea.


    Como te comento sabemos que por el puerto 80 o alguna web no generaba las consultas por que el snifer no dio ningún resultado, cuando estaba en el 80.


    Lo curioso es que en le puerto de la bd tampoco veía nada el snifer, eso es lo mas raro, en el autlog se veía claramente como hacia las consultas y en cambio al puerto con el snifer no pillaba nada, pero después de hacer una prueba hoy, veo que pongo el sniffer, y hago login a el panel del mail y veo que hace lo mismo que hace cuando me atacaban, es decir veo que hace la consulta, pero no veo que le pase mi pass ni mi user, asi que supongo que la autentificación lo hace comparando con lo que el tiene en la bd. es decir no pasa los parámetros, pero si veo como acceder al vhost mio.

    Code
    1. .UPDATE.ht
    2. 0x0050: 7470 645f 766c 6f67 6765 7220 5345 5420 tpd_vlogger.SET.
    3. 0x0060: 6279 7465 7320 3d20 6279 7465 7320 2b20 bytes.=.bytes.+.
    4. 0x0070: 2733 3436 3927 2057 4845 5245 2076 686f '3469'.WHERE.vho
    5. 0x0080: 7374 203d 2027 7061 6e65 6c2e 6d69 7072 st.=.'panel.mipr
    6. 0x0090: 6f78 792e 6573 2720 414e 4420 6c64 6174 ###.es'.AND.ldat
    7. 0x00a0: 6520 3d20 2732 3031 3430 3932 3927 e.=.'20###929'


    aquí veo que se le indica que es para mi hosting, el único dominio que tengo vamos.


    Por algún motivo el ataque a realizado el bruteforce sobre mi dominio, y otro que era wp.com, y una vez a terminado el ataque por diccionario lo ha dejado por lo que veo.


    He probado poniendo el snifer en el puerto web haciendo bruteforce y el resultado es evidente y se ve claramente así que por el puerto web no era.


    Por el smtp es por donde no mire mucho, pero a ver tengo mis dudas, la cuestión es que creo que hace las consultas al sql plugin de alguna forma desde fuera, el realiza las consultas legales por que se cree que está dentro, y le devuelve el resultado.


    La cuestión es que yo me pongo a hacerle bruteforce al panel de web de mi email y no veo ese resultado, es decir no estaba atacando al puerto del webmail.


    Otro detalle interesante es que sabe mi hostname, el interno propio, servidor.midominio.es


    Ahora me gustaría cazarlo, a ver si tengo suerte y regresa, ya estoy con la duda jejej ;).


    Bueno espero estas pistan te sirvan a ti, yo de dominios y web estoy mas verde pero de maquina y cosas a abajo nivel puedo ayudar mas ;).


    De todas formas tengo todos los logs, si me comentas algo interesante que pudiésemos mirar.


    Venga gracias por todo saludosss.

    El tema podemos dejarlo como cerrado, al final resulto ser todo normal, y esos mensajes no es mas que el bruteforce pero es el panel el que consulta a ver la base de datos, y da esos mensajes no es que alguien como yo pensaba pudiera estar haciando las consultas directamente sobre la base de datos.


    Un susto, menos mal por que no encontraba nada por mas que miraba jejejeej normal, es cosa del panel así que tranquilos.


    Gracias como siempre kurgans ;), un abrazo.

    No hay de que.....
    esto era algo que nos afecta a todos por suerte salio de donde es y por que vemos eso en el log, tu tranquilo y todos tranquilos

    Hola a todos.
    Spidersoftware: a que te refieres con que es normal?
    He detectado el mismo problema estos dias, y esta continuamente haciendo consultas a la bb.dd. por diccionario, al mismo estilo que el log que has colgado y no consigo cazar por donde lo hacen. Tengo puesto fail2ban y no veo nada fuera de lo normal, salvo los tipicos baneados por pesados. Entiendo que si busca algo asi:

    SQL
    1. SELECT mail_pass from mail_users where mail_addr = xerox@miservidor.com AND status='ok';

    deberia existir en el log del mail el intento, pero busco por mail.info y no existe ninguna entrada asi.
    A ver si me podeis aclarar un poco mas el tema, muchas gracias.