SoS hackeado PfSense A TRAVEZ DEL USUARIO root (ya me agarraron de deporte nacional)



  • SoS hackeado PfSense A TRAVEZ DEL USUARIO root (ya me agarraron de deporte nacional)como cambiar de usuario root ,eliminar usuario root


  • Rebel Alliance

    https://forum.netgate.com/topic/21817/recomendaciones-al-postear

    Utilizo pfSense desde la version 1.2.3, y no he tenido problemas (hackeo) con el usario "root"



  • @ptt
    Yo me he vuelto en un objetivo a destruir, a desconosco el origen del ataque solo dejan la huella digital donde en adminsitradores indica un susuario shell a iniciado secion y cuando aparece esto queda muerto todo.


  • Rebel Alliance

    Por favor, explica de manera clara y detallada lo que sucede, lo que haces, cómo lo haces, etc....

    Incluye log's, capturas de pantalla, etc...

    Cuanto mas clara y detallada sea la informacion, más fácil será que los compañeros te puedan ayudar/orientar.

    Suerte.



  • @ptt lo estoy levantando otra vez ,,esperare el hackeo nuevamente mando lo solicitado,sin embargo se puede atender el tema sobre como cambiar el usuario root



  • ¿Sabes que para ayudarte, debes ayudarnos a comprender lo que haces?

    ¿De dónde viene el ataque? ¿De afuera WAN o desde adentro LAN? Si es desde afuera, simplemente cierra el acceso al pfsense desde el exterior. Si es desde adentro y es una persona que no sepa ocultar sus huellas, en los log debe aparecer.

    Para ambos casos, deshabilita el acceso por Shell y revisa las reglas de Firewall. Lo importante con cualquier proxy o firewall, es CERRAR TODOS LOS PUERTOS y luego de eso, ir abriendo poco a poco sólo los que se van a necesitar.

    Debes tener claves muy débiles para que te hagan eso y con un simple diccionario de fuerza bruta, esas claves son reconocidas fácilmente. Si ese es tu caso, te recomiendo leas cómo se deben generar o crear claves seguras.

    Si tenés AP, Router inalámbricos o cualquier otro dispositivo de conexión inalámbrica, asegurate de desactivarle el WPS porque por ese medio se pueden conectar sin que te des cuenta.

    Como ves, tu consulta es muy amplia y pueden ser muchos factores y por eso, uno debe leer desde lo más básico en seguridad para poder limitar los accesos no autorizados

    pfSense se basa en FreeBSD, busca como cambiar la clave root en FreeBSD y sabrás como cambiarla en pfSense, pero de nada te va a servir si te instalaron un keylogger o similar en esa instalación que tenes.

    Lo más sano es que respaldes tu configuración, formatees e instales de nuevo pfSense para evitar cualquier cosa que te instalaran para molestarte.



  • @BrujoNic ya hice esto,lo que mencionas soy una persona que probee internet a una i comunidad pobre de mexico,,pero hay un probedor aqui que no le gusta lo que hago y me trata de sabotearme,,pfsense me ayudado mucho y aguantado todo pero he detectado los acceso por shell ,,,,y cuando aparece el mensage que si el usuario a iniciado sesión por shell queda todo desconfigurado,,y tambien he notado que sale un mensage que pfsense tiene un error de programacion y se reinicia solo.....lo tengo en produccion podemos ponernos de de acuerdo para que esto sirva de estudio a pfsense y pueda allar el fallo informatico.....ponernos de acuerdo para que se conecten remotamente a mi servidor


  • Rebel Alliance

    Dices que se conectan de forma remota....

    Pues MUESTRA las reglas de Firewall que utilizas ! (capturas de pantalla)

    Si no nos das información Clara, Completa y Detallada Nadie te podrá ayudar !

    La gente de Netgate (pfSense) no se va a "conectar a tu servidor" para "hallar el Fallo" (que dudo que sea de pfSense), a menos que cuentes con un contrato de Soporte.

    Si no nos das informacion, no te podemos ayudar.

    Por mi parte, hasta no ver que proveas la informacion pertinente/solicitada, no sigo en este hilo/tema.

    Suerte.



  • Por mi parte, tendré que seguir las medidas de ptt, si no das información como se te solicita, pues tampoco trataré de seguir ayudándote porque ayudar "al aire", no resuelve nada.

    Traté de ser claro, de mostrarte varias situaciones y el escribir "ya hice eso" sin explicar que es ese "ya hice eso", entonces qué vamos a ganar?

    Si decis que accesas por Shell, es porque lo tenes habilitado y si no es así, entonces no lo decís.

    Lo siento y espero resuelvas tu problema ya que si realmente lo haces por una comunidad pobre (sin cobrar), es loable tu voluntad.



  • @javier1948 said in SoS hackeado PfSense A TRAVEZ DEL USUARIO root (ya me agarraron de deporte nacional):

    @BrujoNic ya hice esto,lo que mencionas soy una persona que probee internet a una i comunidad pobre de mexico,,pero hay un probedor aqui que no le gusta lo que hago y me trata de sabotearme,,pfsense me ayudado mucho y aguantado todo pero he detectado los acceso por shell ,,,,y cuando aparece el mensage que si el usuario a iniciado sesión por shell queda todo desconfigurado,,y tambien he notado que sale un mensage que pfsense tiene un error de programacion y se reinicia solo.....lo tengo en produccion podemos ponernos de de acuerdo para que esto sirva de estudio a pfsense y pueda allar el fallo informatico.....ponernos de acuerdo para que se conecten remotamente a mi servidor

    Probaste cambiar la password de root ?


Log in to reply