{"id":5032,"date":"2019-06-17T11:00:17","date_gmt":"2019-06-17T09:00:17","guid":{"rendered":"https:\/\/assistance.groupemagiconline.com\/?post_type=ht_kb&p=5032"},"modified":"2020-06-12T11:14:35","modified_gmt":"2020-06-12T09:14:35","slug":"nettoyer-mon-serveur-prive","status":"publish","type":"ht_kb","link":"https:\/\/assistance.groupemagiconline.com\/es\/knowledge-base\/nettoyer-mon-serveur-prive\/","title":{"rendered":"Limpiar mi servidor privado"},"content":{"rendered":"
\n

Cada\u00a0CMS<\/acronym>\u00a0(joomla, wordpress, drupal, etc.) es una fuente potencial de infecci\u00f3n. Lo mismo ocurre con el software instalado en sus servidores<\/a>.<\/strong> La infecci\u00f3n de su servidor puede utilizarse para instalar, por ejemplo, un\u00a0Botnet<\/a><\/strong>software, o un\u00a0Miner\u00eda de Bitcoin<\/a><\/strong><\/p>\n<\/div>\n

Hacer un diagn\u00f3stico<\/h2>\n
\n

En el caso de un minero de bitcoin, los recursos de su servidor estar\u00e1n muy ocupados, por lo que es bastante sencillo encontrar el proceso infractor utilizando el comando\u00a0top<\/code>\u00a0en\u00a0SSH<\/acronym><\/p>\n

En el caso de una red de bots, esto se vuelve un poco m\u00e1s cr\u00edtico. Podemos ayudarle con\u00a0Horas de cr\u00e9dito de servicios gestionados<\/a><\/strong>\u00a0si tiene dificultades.<\/p>\n

Por lo general, el procedimiento es el siguiente; empezamos por utilizar el\u00a0ss<\/code>\u00a0(sustituci\u00f3n de\u00a0netstat<\/code>) :<\/p>\n

ss -lntpaue|grep -i 6667<\/pre>\n
Este comando determina qu\u00e9 proceso se est\u00e1 comunicando a trav\u00e9s del puerto 6667 (IRC<\/acronym>)<\/p>\n
tcp SYN-SENT 0 1 ip.from.your.server:44098 ip.malicious:6667 timer:(on,30sec,5) users:(\"perl\",7908,4)) uid:10013 ino:34808658 sk:ffff8805c23680c0\r\ntcp SYN-SENT 0 1 ip.de.votre.serveur:47601 ip.malicious.2:6667 timer:(on,28sec,5) users:((\"perl\",17998,4)) uid:10013 ino:34808090 sk:ffff881086770f40\r\ntcp SYN-SENT 0 1 ip.de.su.servidor:42479 ip.malicioso.3:6667 timer:(on,10sec,4) users:(\"perl\",27298,4)) uid:10013 ino:34810070 sk:ffff88000e852e40\r\ntcp SYN-SENT 0 1 ip.de.su.servidor:48434 ip.malicioso.4:6667 timer:(on,10sec,4) users:(\"perl\",27312,4)) uid:10013 ino:34810069 sk:ffff881ee98b8280<\/pre>\n
Entonces sabemos que el PID 7908, un proceso perl, ha enviado un\u00a0SYN<\/a><\/strong>\u00a0a la IP \"ip.maliciosa\".<\/p>\n<\/div>\n
Detecci\u00f3n de la infecci\u00f3n<\/h2>\n
Identificar el o los guiones<\/h4>\n
\n
Tanto si el problema es un minero de bitcoin, una red de bots, un script de spam o cualquier otra cosa, generalmente el enfoque es el mismo.<\/p>\n
Una vez que tenga el PID del script infractor, puede aplicar el comando\u00a0lsof<\/code>\u00a0utilizando el par\u00e1metro\u00a0-p<\/code>\u00a0para identificar los archivos abiertos por el n\u00facleo de su servidor, a trav\u00e9s del proceso identificado.<\/p>\n
root@server:\/# lsof -p 7908\r\nCOMANDO PID USUARIO FD TIPO DISPOSITIVO TAMA\u00d1O\/OFF NOMBRE NODO\r\nperl 7908 www-data cwd DIR 0,147 4096 65774431 \/var\/www\/vhosts\/monserver.ispfr.net\/www\/images\/partners\r\nperl 7908 www-data rtd DIR 0,147 4096 64882566 \/\r\nperl 7908 www-data txt REG 0.147 6928 64907675 \/usr\/bin\/perl\r\nperl 7908 www-data mem REG 0.147 80712 66365480 \/lib\/libresolv-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 22928 66365674 \/lib\/libnss_dns-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 51728 66365701 \/lib\/libnss_files-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 43552 66365618 \/lib\/libnss_nis-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 89064 66365442 \/lib\/libnsl-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 31616 66365673 \/lib\/libnss_compat-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 17640 42543840 \/usr\/lib\/perl\/5.10.1\/auto\/Digest\/MD5\/MD5.so\r\nperl 7908 www-data mem REG 0.147 13992 42543857 \/usr\/lib\/perl\/5.10.1\/auto\/MIME\/Base64\/Base64.so\r\nperl 7908 www-data mem REG 0.147 25976 36315140 \/usr\/lib\/perl\/5.10.1\/auto\/Socket\/Socket.so\r\nperl 7908 www-data mem REG 0.147 86072 42550019 \/usr\/lib\/perl\/5.10.1\/auto\/Storable\/Storable.so\r\nperl 7908 www-data mem REG 0.147 18120 36241410 \/usr\/lib\/perl\/5.10.1\/auto\/Fcntl\/Fcntl.so\r\nperl 7908 www-data mem REG 0.147 19920 36282369 \/usr\/lib\/perl\/5.10.1\/auto\/IO\/IO.so\r\nperl 7908 www-data mem REG 0.147 35104 66365563 \/lib\/libcrypt-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 1437064 66365693 \/lib\/libc-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 131258 66365502 \/lib\/libpthread-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 530736 66365430 \/lib\/libm-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 14696 66365682 \/lib\/libdl-2.11.3.so\r\nperl 7908 www-data mem REG 0.147 1494792 65005681 \/usr\/lib\/libperl.so.5.10.1\r\nperl 7908 www-data mem REG 0.147 128744 66365635 \/lib\/ld-2.11.3.so\r\nperl 7908 www-data 0r CHR 1,3 0t0 64890531 \/dev\/null\r\nperl 7908 www-data 1w FIFO 0.8 0t0 880179538 pipe\r\nperl 7908 www-data 2w FIFO 0.8 0t0 880179538 pipe\r\nperl 7908 www-data 3u IPv4 2691366378 0t0 TCP myserver.ispfr.net:41386->87.250.73.120:ircd (SYN_SENT)\r\nperl 7908 www-data 54r FIFO 0,8 0t0 875280500 pipe\r\nperl 7908 www-data 55w FIFO 0.8 0t0 875280500 pipe\r\nperl 7908 www-data 56r FIFO 0.8 0t0 875280501 pipe\r\nperl 7908 www-data 57w FIFO 0.8 0t0 875280501 pipe<\/pre>\n
As\u00ed, la primera l\u00ednea identifica el archivo infractor:\u00a0perl 7908 www-data cwd DIR 0.147 4096 65774431 \/var\/www\/vhosts\/monserver.ispfr.net\/www\/images\/partners<\/code><\/p>\n
El directorio\u00a0\/var\/www\/vhosts\/monserver.ispfr.net\/www\/images\/partners<\/code>\u00a0por lo que contiene el archivo infractor.<\/p>\n
As\u00ed que abrimos el archivo para ver qu\u00e9 contiene:<\/p>\n
root@monserveur:\/var\/www\/vhosts\/monserveur.ispfr.net\/www\/images\/partenaires# ls\r\nDeNia.phtml image55.jpg jrtv.jpg d.jpg index.html xml.phtml<\/pre>\n
Si abre el archivo\u00a0DeNia.phtml<\/code><\/p>\n
?php\r\n\/*******************************************\/\r\n\/* c99 injektor v.9 (C) 2011 *\/\r\n\/* Recodificado y modificado por DeNia *\/\r\n\/* #Denia@irc.allnetwork.org *\/\r\n\/*******************************************\/<\/pre>\n
Entonces podemos encontrar\u00a0algunos rastros en Internet<\/a><\/strong>\u00a0del origen del ataque. Por lo tanto, se puede suponer que todos los sitios de su servidor que est\u00e1n en el mismo\u00a0CMS<\/acronym>\u00a0est\u00e1n todos infectados de la misma manera.<\/p>\n
Los archivos en\u00a0.jpg<\/code>\u00a0en esta carpeta no son necesariamente todos leg\u00edtimos; si abre el primero de la lista :<\/p>\n
# cabeza imagen55.jpg\r\n#!\/usr\/bin\/perl\r\nutilice HTTP::Request;\r\nutilizar LWP::UserAgent;\r\nutilice IO::Socket;\r\nutilice IO::Select;\r\nutilizar la toma de corriente;\r\nutilizar MIME::Base64;\r\nutilice File::Basename;\r\nutilice URI::Escape;\r\nuse Digest::MD5 qw(md5_hex);<\/pre>\n
Puedes ver que se trata de un script malicioso. Lo mismo ocurre con la siguiente imagen:<\/p>\n
# cabeza d.jpg\r\n#!\/usr\/bin\/perl\r\n\r\nutilice HTTP::Request;\r\nutilice HTTP::Request::Common;\r\nuse HTTP::Request::Common qw(POST);\r\nutilice LWP::Simple;\r\nutilizar LWP 5.64;\r\nutilizar LWP::UserAgent;\r\nutilizar la toma de corriente;\r\nutilice IO::Socket;<\/pre>\n<\/div>\n
Eliminaci\u00f3n del problema<\/h4>\n
\n
Una vez que est\u00e9 seguro de haber identificado los scripts maliciosos, debe cortar la amenaza.<\/p>\n
Una forma sencilla y radical de hacerlo funciona muy bien:<\/p>\n
cd \/la\/ruta\/mi\/carpeta\/contenido\/archivos\/infectados\/\r\nchmod -R 0 *<\/pre>\n
Entonces la actividad de la red de bots se corta:<\/p>\n
matar -9 7908<\/pre>\n
(7908<\/strong>\u00a0que corresponde, por supuesto, al PID del script)<\/p>\n<\/div>\n
Actualizaci\u00f3n<\/h4>\n
\n
El\u00a0CMS<\/acronym>\u00a0no son una excepci\u00f3n a la necesidad de actualizaci\u00f3n. Por lo tanto, es\u00a0primordial<\/strong>\u00a0para que se encargue de actualizar su\u00a0CMS<\/acronym>\u00a0de la manera m\u00e1s coherente posible.<\/p>\n
Si esta documentaci\u00f3n no es suficiente, p\u00f3ngase en contacto con el administrador del sistema.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"
Cada CMS (joomla, wordpress, drupal, etc.) es una fuente potencial de infecci\u00f3n. Lo mismo ocurre con el software instalado en su servidor. La infecci\u00f3n de su servidor puede ser utilizada para instalar, por ejemplo, una red de bots, o un software de miner\u00eda de Bitcoin. Hacer un diagn\u00f3stico En el caso de un minero de Bitcoin, los recursos...<\/p>","protected":false},"author":52,"comment_status":"open","ping_status":"closed","template":"","format":"standard","meta":{"footnotes":""},"ht-kb-category":[591,590],"ht-kb-tag":[667],"class_list":["post-5032","ht_kb","type-ht_kb","status-publish","format-standard","hentry","ht_kb_category-serveur-dedie-physique","ht_kb_category-serveur-prive-virtuel","ht_kb_tag-serveur-prive"],"_links":{"self":[{"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/ht-kb\/5032","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/ht-kb"}],"about":[{"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/types\/ht_kb"}],"author":[{"embeddable":true,"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/users\/52"}],"replies":[{"embeddable":true,"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/comments?post=5032"}],"version-history":[{"count":0,"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/ht-kb\/5032\/revisions"}],"wp:attachment":[{"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/media?parent=5032"}],"wp:term":[{"taxonomy":"ht_kb_category","embeddable":true,"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/ht-kb-category?post=5032"},{"taxonomy":"ht_kb_tag","embeddable":true,"href":"https:\/\/assistance.groupemagiconline.com\/es\/wp-json\/wp\/v2\/ht-kb-tag?post=5032"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}