Re: Ataque... hacking....

To: debian-user-spanish@lists.debian.org
Subject: Re: Ataque... hacking....
From: Alberto Corsín <acorsin@itdeusto.com>
Date: Tue, 14 Dec 2004 15:27:50 +0100
Message-id: <[🔎] 20041214142750.GB14062@corsin.org>
In-reply-to: <[🔎] 20041213140714.7d175942@nnss.d7.be>
References: <[🔎] 41BDBDD9.4090804@calidae.net> <[🔎] 20041213140714.7d175942@nnss.d7.be>

Como dice Matías yo me decanto por algún fallo de aplicación. Alguna
caspez tipo tal.php?file=pepe.pdf sin comprobar que no te puedan hacer
una escalada de directorios, etc, etc.

Puedes mirar si te han hecho algo más que zumbarse la web pasando algún
programa como el chkrootkit, aunque como bien dice Matías yo
reinstalaría toda la máquina también. Ampliando un poco lo que te decía
él sobre firmar ficheros prueba tripwire o aide, que viene a ser
parecido pero en libre. De paso actualiza el kernel que si no recuerdo
mal 2.4.21 seguía teniendo el agujero del ptrace o similar.

Si no la vas a reinstalar (que repito que yo no lo haría) comprueba
ficheros setuidados, etc. Eso sí, si vas a usar find para hacer algún
tipo de análisis forense ten en cuenta montar la partición como sólo
lectura o vas a cambiar el timestamp de todos los ficheros que busques
con find y no queremos eso, no? ;)

On Mon, Dec 13, 2004 at 02:07:14PM -0300, Matias 'nnss' Palomec wrote:
>El Mon, 13 Dec 2004 17:05:45 +0100
>Jaume <jaumellistes@calidae.net> escribió:
>
>> Hola a todos.
>> Tengo un servidor de web,correo, etc.. con varias webs alojadas.
>> Hoy por lam añana me ha entrado un haquer: WhackerZ....  y me ha
>
>te ha entrado un craker
>
>> indeado todas los index.php con una página suya, reivindicativa,
>
>es algo bastante común estos días
>
>> etc... Ya he restaurado el servidor (gracias a las copias..:) ),
>
>Felicitaciones por los backups!!!!!!!
>
>> pero me gustaria saber cómo ha podido entrar. Tengo una debian woody
>> actualizada al máximo y con el shorewall haciendo de firewall y
>
>dirás IpTables haciendo de firewall
>
>> capando todos los puertos excepto :
>> 
>> apache - 80,
>> postfix - 25,
>> courier-pop - 110,
>> ssh - 22,
>> mysql - 3306
>> proftpd - 21
>
>No entiendo porque dejar en mysql al exterior, pero eso no es el punto
>real.
>
>El firewall puede evitar algunas cosas, pero el tráfico "correcto" al
>servidor web seguro que lo dejará pasar, por más que sea un exploit
>para el webserver.
>
>Yo me inclinaría (por cuestiones que estuve viendo hace poco) por el
>webserver, y más si tienes WebDav o alguna galería de fotos hecha en
>PHP (habían varias que no son muy viejas y tienen demasiados fallos
>graves de seguridad). Por lo cual para estar más tranquilo yo que tu
>iría viendo de auditar un poco el código PHP que haya, buscar
>vulnerabilidades ya anunciadas de los programas que tengas instalados
>(los programas que se relacionen directamente con el webserver).
>
>En una menor medida, también fíjate si tienes algún usuario que tenga
>una contraseña de diccionario. En los últimos meses (casi un año) hay
>dando vueltas por internet un brutessh. A mi me están dando murra todo
>el día (hace varias semanas), pero como no tienen ningún usuario por
>ahora no pueden hacer mucho (por ahora)
>
>Otra cosa que pudieron hacer es entrarte por alguna aplicación web mal
>hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que
>sea en tu sistema) y así conseguir las contraseñas con algún programa.
>
>> 
>> El muy k... me ha borrado todo el directorio /var/log también.
>
>Es algo usual, yo para eso hago que cada 15 minutos se manden por mail
>los últimos logs a otra máquina, no es lo mejor, pero al menos me
>quedo con bastante información (esto lo hace el logckech).
>
>> 
>> Hay alguna manera de saber cómo ha podido entrar ?
>
>Más allá de lo que te mencioné antes, esa máquina reinstalala TODA
>cuanto antes, pueden haber varios programas "infectados" con algún
>troyanon, con lo cual volverán a entrar como si estuvieran en su casa.
>Para verificar esto para la próxima vez puedes fijarte que hay varios
>"comprobadores de integridad" de los archivos. No recuerdo ahora el
>nombre, pero sacaba una comprobación de todos los ejecutables del base
>y luego eso lo podías grabar en un CD o lo que sea, luego cuando
>querías comprobar todo ponías el CD y corrias la comprobación, estoy
>casi seguro que esto lo vi en Debian hace un tiempo.
>
>Otra medida preventiva interesante podría ser el instalar y configurar
>bien un IDS como snort, no hace milagros, pero ayuda bastante contra
>los ataques a servicios "permitidos".
>
>
>-- 
>Atentamente, yo <Matías>
>Y sin fumar desde (casi) el '1089515700'
>http://www.nnss.d7.be
>Let one walk alone, commit no sin,
>with few wishes, like an elephant in the forest
>
>
>-- 
>To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-- 
Un saludo

----------------------------------------------------------------
     Alberto Corsín Lafuente :: IP Soluciones
        c/Francisco Sancha 4 :: Madrid 28034
          Tlf: +34 917283950 :: Fax: +34 917291414
        acorsin@itdeusto.com :: http://www.ipsoluciones.com
----------------------------------------------------------------

Reply to:

References:
- Ataque... hacking....
  - From: Jaume <jaumellistes@calidae.net>
- Re: Ataque... hacking....
  - From: Matias 'nnss' Palomec <matias.nnss@gmail.com>

Prev by Date: Re: Programa maquetación revistas
Next by Date: Rendiminiento del equipo
Previous by thread: Re: Ataque... hacking....
Next by thread: RE: Ataque... hacking....
Index(es):
- Date
- Thread