Resultados 1 al 8 de 8

Tema: ¿virus?¿ataque a servidor?

  1. #1
    Master Avatar de klo
    Ubicación
    Torrijón ( MADRÍ )
    Mensajes
    1,115

    Predeterminado ¿virus?¿ataque a servidor?

    Hola, tengo un pequeño servidor con una pagina web en mi trebajo (un pequeño estudio de fotografia)

    Tengo el servidor aqui, porque hago pasos de mucha cantidad de datos en fotos, y me es mas cómodo hacerlo por LAN que liarme a subir por internet.


    Bueno al lio:
    Desde hace unas semanas recibo correos (en latín) de diferentes contactos. son correos de los que me envía mi propia web en el apartado contacto, no se ve el mail, se pincha se rellena con texto y me lo envia como "Contacto recibido de xxx@mail.xx (lo que sea)

    El caso es que lo he tenido apagado este fin de semana y ni un solo correo. asi que es algo que está en el servidor ¿como saber si es algo externo o está en mi SO? es un UBUNTU 16.04

  2. #2
    Master Avatar de klo
    Ubicación
    Torrijón ( MADRÍ )
    Mensajes
    1,115

    Predeterminado Re: ¿virus?¿ataque a servidor?

    ¿nadie puede echarme una mano?

    esto empieza a ser un sinvivir... entre que yo no controlo mucho, que la pagina es una mierda de hace 15 años y los que me la hicieron han desaparecido... por mucho que trasteo, no consigo nada.

  3. #3
    Master Avatar de klo
    Ubicación
    Torrijón ( MADRÍ )
    Mensajes
    1,115

    Predeterminado Re: ¿virus?¿ataque a servidor?

    he conseguido cambiar la direccion de correo electronica, y una pequeña pregunta de seguridad que tengo para evitar eso, robots, pero nada. me lo sigue enviando.

  4. #4

    Predeterminado Re: ¿virus?¿ataque a servidor?

    Lamento que por ahora no haya pasado por aquí nadie que pueda ayudarte. En mi caso, soy un completo ignorante en cosas de seguridad y mantenimiento de servidores.

    Síguenos contando si tienes algún progreso y así mantener vivo el hilo, a ver si eventualmente pasa alguien que pueda darte algún consejo.

    Un saludo.
    • Ryzen 3700X
    • MSI MPG X570 Gaming Edge Wifi
    • Corsair RGB 3200 2x8GB DDR4
    • KFA2 GTX1070

  5. #5

    Predeterminado Re: ¿virus?¿ataque a servidor?

    Buenas, yo desde Junio estoy que no estoy, el asunto del spam es muy complejo, hay softwares potentes para evitar todo eso pero... casi siempre se cuelan, pero tu caso es particular, porque parece que es esa máquina, si apagada no ocurre, entonces, hay que mirar en los logs /var/log... y mirar qué hay por ahí, también el típico dmesg, en latín puede ser el típico lore ipsum, mira qué demonio de smtp usas, actualízalo, cámbialo...

    Saludos
    "Azar es el nombre científico de la ignorancia."
    MUY IMPORTANTE Lee el REF Lee las normas|ESCANEOS Y MÁS ONLINE GRATUITOS|Protocolo de desinfección
    En este subforo hay una COMPARATIVA DE ANTIVIRUS Y CORTAFUEGOS, donde se discuten esos temas. Entra al CHAT

  6. #6
    El señor de los forillos Avatar de el_angel_caido
    Ubicación
    En un lugar de Asturias de cuyo nombre no quiero acordarme...
    Edad
    46
    Mensajes
    4,748

    Predeterminado Re: ¿virus?¿ataque a servidor?

    Hola.

    Sorry, paso muy poco por este foro y si vi el hilo se me olvidó completamente.

    Lo primero que deberías hacer es recabar información sobre lo que tiene instalado el servidor, con decir que que es un Ubuntu 16.04 no es suficiente... aunque si está sin actualizar ya empezamos mal, y éso que se ha ampliado el soporte de la 16.04 LTS a 10 años más.
    Con un sudo apt autoremove && sudo apt autoclean && sudo apt clean && sudo apt update && sudo apt upgrade && sudo apt full-upgrade deberías dejar la distro al día de dicha versión.
    Evidentemente es una versión de Ubuntu muy antigua, ya vamos por la 20.04 LTS, pero, por ahora, mejor no intentar un upgrade completo de versiones.

    Mira que servidor web usa la página, si es Apache2 (apache2 -v) o nginx (nginx -v) u otro.

    Mira si usa un CMS y cuál es, casi seguro que Wordpress. Dependiendo de cómo se haya instalado puede estar en diferentes sitios, pero lo habitual es que estuviera en /var/www o en algún subdirectorio dentro de esa ruta.

    Y si es Wordpress mira los plugins que tiene instalados y si hay actualizaciones tanto del propio Wordpress como de los plugins. Antes haz una copia de seguridad del sitio web y de las bases de datos.
    Dentro de los plugins busca alguno que te parezca sospechoso o tenga un nombre que te suene de algo, apostaría que es alguno relacionado con el formulario de contactos.
    Y hablando de plugins, yo instalaría dos de seguridad, iThemes Security y Wordfence Security, en sus versiones gratuitas nos sirven por el momento, para ver si tenemos alguna vulnerabilidad en el Wordpress o en alguno de los plugins, además de que pueden dar información de otras cosas y ampliar la seguridad del sitio.
    Todo ésto si hablamos de Wordpress, donde si las versiones instaladas son muy antiguas puede que te encuentres con problemas al instalar/actualizar el CMS y/o los plugins al tener, por ejemplo, una versión antigua de PHP.

    Si fuera otro CMS, como Drupal o Joomla, no sabría decirte, se algo de Wordpress porque hace tiempo lo usé para un proyecto personal, y los intentos de acceso y demás me dieron mucha guerra (debe haber un hilo en el foro sobre ello).
    Ídem si usas nginx, siempre he usado Apache2, del cuál controlo lo justo y necesario (aunque tendré que acabar, tarde o temprano, mirando nginx, porque con Apache2 no soy capaz de hacer un reverse proxy funcional como quiero).

    También sería interesante saber si los correos se envían a través de algún servicio local de correo o es un relay a una cuenta externa de correo.

    Por supuesto, como ha comentado zagloj, y mirar los logs.

    Y copias de seguridad de todo antes de hacer nada, y si vas a modificar un archivo haz una copia de seguridad del mismo, por ejemplo, de apache.conf a apache.conf.bak, por si algo falla poder volver atrás.

    Un saludo.
    Dios es ateo, no cree en mí.

  7. #7
    Master Avatar de skabeche
    Ubicación
    Unas veces en Benicàssim y otras en Oviedo
    Mensajes
    2,038

    Predeterminado Re: ¿virus?¿ataque a servidor?

    Puedes indicar la url de la web para echarle un vistazo?
    SKIZOPHONIC
    Web de mi grupo: www.skizophonic.es
    Facebook de mi grupo: www.facebook.com/skizophonic
    Escúchanos en Spotify: Skizophonic en Spotify

    Si yo no soy Curro Jiménez ¿Por qué tengo este trabuco?

  8. #8
    Master Avatar de klo
    Ubicación
    Torrijón ( MADRÍ )
    Mensajes
    1,115

    Predeterminado Re: ¿virus?¿ataque a servidor?

    Cita Iniciado por zagloj Ver mensaje
    Buenas, yo desde Junio estoy que no estoy, el asunto del spam es muy complejo, hay softwares potentes para evitar todo eso pero... casi siempre se cuelan, pero tu caso es particular, porque parece que es esa máquina, si apagada no ocurre, entonces, hay que mirar en los logs /var/log... y mirar qué hay por ahí, también el típico dmesg, en latín puede ser el típico lore ipsum, mira qué demonio de smtp usas, actualízalo, cámbialo...

    Saludos
    El smtp, vamos el servidor es externo, uno de nominalia. por dentro, cómo lo hace, ni idea. algo he visto pero poca idea tengo.

    Cita Iniciado por el_angel_caido Ver mensaje
    Hola.

    Sorry, paso muy poco por este foro y si vi el hilo se me olvidó completamente.

    Lo primero que deberías hacer es recabar información sobre lo que tiene instalado el servidor, con decir que que es un Ubuntu 16.04 no es suficiente... aunque si está sin actualizar ya empezamos mal, y éso que se ha ampliado el soporte de la 16.04 LTS a 10 años más.
    Con un sudo apt autoremove && sudo apt autoclean && sudo apt clean && sudo apt update && sudo apt upgrade && sudo apt full-upgrade deberías dejar la distro al día de dicha versión.
    Evidentemente es una versión de Ubuntu muy antigua, ya vamos por la 20.04 LTS, pero, por ahora, mejor no intentar un upgrade completo de versiones.

    Mira que servidor web usa la página, si es Apache2 (apache2 -v) o nginx (nginx -v) u otro.

    Mira si usa un CMS y cuál es, casi seguro que Wordpress. Dependiendo de cómo se haya instalado puede estar en diferentes sitios, pero lo habitual es que estuviera en /var/www o en algún subdirectorio dentro de esa ruta.

    Y si es Wordpress mira los plugins que tiene instalados y si hay actualizaciones tanto del propio Wordpress como de los plugins. Antes haz una copia de seguridad del sitio web y de las bases de datos.
    Dentro de los plugins busca alguno que te parezca sospechoso o tenga un nombre que te suene de algo, apostaría que es alguno relacionado con el formulario de contactos.
    Y hablando de plugins, yo instalaría dos de seguridad, iThemes Security y Wordfence Security, en sus versiones gratuitas nos sirven por el momento, para ver si tenemos alguna vulnerabilidad en el Wordpress o en alguno de los plugins, además de que pueden dar información de otras cosas y ampliar la seguridad del sitio.
    Todo ésto si hablamos de Wordpress, donde si las versiones instaladas son muy antiguas puede que te encuentres con problemas al instalar/actualizar el CMS y/o los plugins al tener, por ejemplo, una versión antigua de PHP.

    Si fuera otro CMS, como Drupal o Joomla, no sabría decirte, se algo de Wordpress porque hace tiempo lo usé para un proyecto personal, y los intentos de acceso y demás me dieron mucha guerra (debe haber un hilo en el foro sobre ello).
    Ídem si usas nginx, siempre he usado Apache2, del cuál controlo lo justo y necesario (aunque tendré que acabar, tarde o temprano, mirando nginx, porque con Apache2 no soy capaz de hacer un reverse proxy funcional como quiero).

    También sería interesante saber si los correos se envían a través de algún servicio local de correo o es un relay a una cuenta externa de correo.

    Por supuesto, como ha comentado zagloj, y mirar los logs.

    Y copias de seguridad de todo antes de hacer nada, y si vas a modificar un archivo haz una copia de seguridad del mismo, por ejemplo, de apache.conf a apache.conf.bak, por si algo falla poder volver atrás.

    Un saludo.

    Muchas gracias a ambos haré lo que me dices, nunca he querido actualizarlo por si estropeo algo, ya sabes: "si funciona, no lo toques" y aunque no soy un manazas, que seguro, tampoco soy infórmatico.

    Voy a ir mirando lo que me decís, a ver si veo algo raro. haré un backup del SO, y empezaré a tocar cosas, actualizar y eso

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •