[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque... hacking....



El Mon, 13 Dec 2004 17:05:45 +0100
Jaume <jaumellistes@calidae.net> escribió:

> Hola a todos.
> Tengo un servidor de web,correo, etc.. con varias webs alojadas.
> Hoy por lam añana me ha entrado un haquer: WhackerZ....  y me ha

te ha entrado un craker

> indeado todas los index.php con una página suya, reivindicativa,

es algo bastante común estos días

> etc... Ya he restaurado el servidor (gracias a las copias..:) ),

Felicitaciones por los backups!!!!!!!

> pero me gustaria saber cómo ha podido entrar. Tengo una debian woody
> actualizada al máximo y con el shorewall haciendo de firewall y

dirás IpTables haciendo de firewall

> capando todos los puertos excepto :
> 
> apache - 80,
> postfix - 25,
> courier-pop - 110,
> ssh - 22,
> mysql - 3306
> proftpd - 21

No entiendo porque dejar en mysql al exterior, pero eso no es el punto
real.

El firewall puede evitar algunas cosas, pero el tráfico "correcto" al
servidor web seguro que lo dejará pasar, por más que sea un exploit
para el webserver.

Yo me inclinaría (por cuestiones que estuve viendo hace poco) por el
webserver, y más si tienes WebDav o alguna galería de fotos hecha en
PHP (habían varias que no son muy viejas y tienen demasiados fallos
graves de seguridad). Por lo cual para estar más tranquilo yo que tu
iría viendo de auditar un poco el código PHP que haya, buscar
vulnerabilidades ya anunciadas de los programas que tengas instalados
(los programas que se relacionen directamente con el webserver).

En una menor medida, también fíjate si tienes algún usuario que tenga
una contraseña de diccionario. En los últimos meses (casi un año) hay
dando vueltas por internet un brutessh. A mi me están dando murra todo
el día (hace varias semanas), pero como no tienen ningún usuario por
ahora no pueden hacer mucho (por ahora)

Otra cosa que pudieron hacer es entrarte por alguna aplicación web mal
hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que
sea en tu sistema) y así conseguir las contraseñas con algún programa.

> 
> El muy k... me ha borrado todo el directorio /var/log también.

Es algo usual, yo para eso hago que cada 15 minutos se manden por mail
los últimos logs a otra máquina, no es lo mejor, pero al menos me
quedo con bastante información (esto lo hace el logckech).

> 
> Hay alguna manera de saber cómo ha podido entrar ?

Más allá de lo que te mencioné antes, esa máquina reinstalala TODA
cuanto antes, pueden haber varios programas "infectados" con algún
troyanon, con lo cual volverán a entrar como si estuvieran en su casa.
Para verificar esto para la próxima vez puedes fijarte que hay varios
"comprobadores de integridad" de los archivos. No recuerdo ahora el
nombre, pero sacaba una comprobación de todos los ejecutables del base
y luego eso lo podías grabar en un CD o lo que sea, luego cuando
querías comprobar todo ponías el CD y corrias la comprobación, estoy
casi seguro que esto lo vi en Debian hace un tiempo.

Otra medida preventiva interesante podría ser el instalar y configurar
bien un IDS como snort, no hace milagros, pero ayuda bastante contra
los ataques a servicios "permitidos".


-- 
Atentamente, yo <Matías>
Y sin fumar desde (casi) el '1089515700'
http://www.nnss.d7.be
Let one walk alone, commit no sin,
with few wishes, like an elephant in the forest



Reply to: