Buen dia.

Hace una semana encontre un malware en un servidor CentOS, me intriga saber como entro asi que, ya hice una imagen del sistema, restableci todo y pues ahora me encuentro en face de investigacion !

Lo curioso es que el server solo tiene 3 puertos abiertos: SSH, FTP y HTTP. Y sobre "vulnerabilidades", pues la unica es que haya tenido el atacante un 0day, porque el server se actualiza todas las madrugadas y se reinicia.

En fin, corriendo la imagen del disco duro en una virtual, noto que cuando elimino el EJECUTABLE de su carpeta, se crea un archivo "automaticamente" que me imagino despues descarga o compila el programa malicioso.

Ahora mi duda es:

**) Existe alguna herramenta para monitorear la creacion de archivos, ya que NO encuentro por ninguna parte "COMO" se crea ese archivo.

Los Logs ya los revise y no encuentro por ninguna parte el arcihvo: may03.tar.bz2", el cual es el archivo que subio de alguna forma el atacante, despues descomprimio y compilo el archivo *.cpp (el cual aun tengo respaldado).

Saludos !

Gracias engel lex por tus comentarios.

Si digamos me chute toda la recodificacion para cambiar de mysql a mysqli, y ya tenga todo listo y funcionando con mysqli mi preguntas son:

1) Cuando haga una consulta y antes haga una conexion, sera necesario llamar a la desconexion ?
2) Si NO llamo a la desconexion, pero al consultar esta por defecto manda llamar una conexion, la existente se retomaria ?
3) Es recomendable configurar las variables de "mysqli_max_persistent" y "mysqli_max_links" ???

OJO actualmente (como uso mysql), cada que termino una consulta, mando llamar: mysql_close(). Pero ahorita que tengo mas usuarios conectados y haciendo consultas, ya siento que el server llega a un punto donde se alenta :'(

Saludos !

Buenas...

Tengo un sitio en el cual estoy recibiendo algo de trafico y anteriormente mi forma de manejar las conexiones a MySQL tenian el procedimiento asi:

1) El script de conecta a la BDD.
2) Realiza la consulta (select, insert, update, etc...).
3) Cerraba la conexión.
4) Retornaba el resultado de la consulta.

Esto ahora veo me esta matando :'(... despues de cierto rato, noto que se alenta el sitio :'(, reinicio httpd y mysqld, y todo se normaliza.

Leyendo en internet encuentro con que se recomienda tener una conexion permanente y cerrar esta conexion cuando el usuario se vaya.

En mi caso, mi sitio es una plataforma que se muestra tras logearse, asi que intente esto (sin exito aun...).

funcion que conecta mysql

function conectar()
	{
	if( !($link= mysql_connect( "". SERVER. "", "". BASE_USR. "", "". BASE_PASS. "" )) )
		$link= "ERROR";
	else if( !mysql_select_db( "". BASE. "", $link ) )
		$link= "ERROR";
	return $link; # retornamos conexion
	}

Logeo y Desloqueo

session_start();
 
# cuando el usuario se LOGEA
if( login($usuario, $pass) )
          {
          $_SESSION["log_id"]= get_datauser( "id", $user, $pass ); # nos da el ID
          $_SESSION["mysql"]= conectar_bdd(); # retorna el ID de conexion
          }
else # no se logeo con exito
          {
          unset($_SESSION);
          reloadpage( "/" ); # recarga pagina
          }
 
# cuando el usuario se DESLOGEA
if( !strcmp($_GET["log"], "out") )
          {
          mysql_close($_SESSION["mysql"]; # cerramos la conexion
          unset($_SESSION);
          session_destroy();
          }

Como se observa la variable $_SESSION["mysql"] la seteo con el ID de la conexión para ese usuario, pero resulta que dicha variable no guarda o nose que sucede, que despues en cierta parte de mi codigo cuando consulto la variable, tiene un valor 0 (cero).

Tal vez la manera en como quiero solucionarlo esta mal, estoy dispuesto en leer sus recomendaciones

OJO: ya lei sobre mysql_pconnect(), pero no quiero usarla porque ya esta marcada como obsoleto en php.net

Saludos !

De antemano gracias [b.Alex.[/] por su tiempo, pero fijate que la expresion regular no funciona cuando hay mas de una incidencia

Por ejemplo, tengo el siguiente hash:


Se supone que deberia retornar un arreglo de dos, que dentro lleve los elementos ....

El hash es conformado asi:

[ID|numero|numero|imagen|titulo|numero|numero|numero|numero]

El [ marca inicio.
El ] marca fin.

Este hash lo envio por API a otro servidor donde se supone paso el preg_match_all y hago la insercion en la BDD, pero sigue igual.. no extrae la info bien.... Solo me retorna una coincidencia en vez de dos y mandarme un array de dos con su respectiva info.

Saludos !

----------------

SOLUCIONADO

Solo omiti el \S de la expresión regular.

Y como esta eso del uso de la @ ???

Buen dia.

Tengo el sig. hash:


Y la expresion que estoy pasando es:

preg_match_arr( $hash, $exp, $buf );

Probe mi expresion en http://regexr.com/ y me dice 1 match.

Pero en mi programa no me retorna el array, me retorna como si no hubiera habido expresión

Buenas.

Pues ya lanze el gancho con amigos y ninguno se animo, principalmente por que desconocen el tema y falta de amor por el medio.

Asi que esperando tener suerte me gustaria ver si hay alguien que le interese formar parte de este barco ... seria 50/50 en ganacias, gastos y todo...

La idea va en serio, actualmente tengo negocio propio y negocios con mas de 5 a~os en internet, asi que esto para mi no es a la ligera

Envienme un MP !

Saludos !

Si tienes una variante anterior a las version 6 solo es cuestion que cheques los temporales del sistema y encontraras el archivo bin.key o el "loquesea.key", esa es la llave para desproteger los archivos.

Si tienes una variante superior a la 6 entonces debes factorizar la llave que viene dentro de cualquier archivo que esta protegido (*.xxx, *.vvv, etc...), al final del proceso obtendras un hash, ese es tu llave !.

OJO: de nada sirve le jueguen al "chico forense" en las versiones superiores a la 6, porque el malware genera la llave en memoria (en un array, en una variable o alguna struct), pero jamas se llega escribir en el disco duro, asi que cuando el malware termina de proteger tus archivos este simplemente elimina las variables en memoria. Y esta bien dificil darte cuenta al instante porque este malware va protegiendo tus archivos de poco a poco, asi que si haces un dumpeo de tu RAM igual ya es demasiado tarde

Saludos !

Buenas.

No se si ya exista la solucion pero quisiera saber si es posible poner un puerto USB Fisico compartido y usuable de manera virtual desde otro equipo de computo o desde otro equipo remoto.

Tengo un circuito que dependiendo el serial que se le introduzca genera un codigo, el detalle es que solo y unicamente el circuito puede generar ese hash ya que tiene un programa "privado". El modo de usarlo es asi:

1) Conecto el circuito al Puerto USB de mi PC.
2) Conecto una memoria flash USB a OTRO puerto usb de mi PC
3) Abro la Aplicacion del Circuito y selecciono mi USB que conecte (punto 2).
4) La aplicacion cifra la USB y me arroja un codigo para usarlo cuando meta mi USB en otros PCs.

BASICAMENTE ese es el uso......

En fin... como traer el circuito de un lado a otro me es dificil porque suficiente es traer mi laptop, se me ocurrio que podia tener mi circuito conectado a mi PC por siempre (como esta ahorita), acceder a mi PC de forma remota y abrir la aplicacion y listo.... peeerooooo... EL PROBLEMA es que COMO hago que la memoria USB que quiero cifrar que esta conectada EN OTRO PC, se simule virtualmente como parte de la PC donde esta el circuito ???

POR FAVOR ABSTENGANSE de decirme "usa un programa que cifra usbs de norton u otro fabricante..... ya que necesito usar ESE circuito que tengo, a fuerzas

Tienen alguna idea ???

Saludos !

Listo logre recuperar mis archivos ...

En primera hay que leer mucho sobre Teslacrypt porque hay hasta 8 o 9 variantes, cada una se identifica por su extensión y modo de generar y manejar las llaves publicas, en mi caso me toco lidiar con la variante mas nueva hasta hoy 24-Febrero-2016.

Les recomiendo ir al foro de bleepcomputing !

bye