[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Opiniones ?... Seguridad/hacking-.

El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Nelson wrote:
> > Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
> > crimen contra un servidor que fue hackeado :-(
> Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?

Distribucion RedHat 9
kernel 2.4.20-8
firewall iptables configuracion basica solo permitia ftp y web
paquetes instalados. la base + los paquetes de apache mysql php y
pureftpd oficial compilado.

PS: se que esta es una lista debian, pero necesito recaudar datos
hacerca del tema. es preocupante lo que sucedio. pido disculpas si
molesto a alguien. :-)

> 
> > en primera instancia puedo creer que el ataque fue hecho via web ya que
> > la maquina en si.. no tiene contacto fisico alguno con el exterior  a
> > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> > chroot).
> 
> Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

pure-ftp permite crear usuarios virtuales atados a un grupo existente en
la makina sin necesidad de crear el usuario de sistema, solo
virtualmente y lo del chroot es que el usuario queda atado netamente a
el "home" o directorio que uno establece para su uso al momento de
generar el usuario

> 
> Los paquetes instalados eran todos de repositorios oficiales?
> 
> > el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
> > bases de datos ssh y el equipo se colgo..
> > 
> > fue una gran sorpresa al darme cuenta que cuando inicie la makina en
> > modo rescate  /var estaba vacio practicamente piendo en un rm
> > -rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
> > atake.. pero buscando en /tmp  encontre algo interezante un archivo
> > llamado _conex.pl_
> > 
> > cuyo contenido muestro aqui.
> > > 
> 
> [Codigo perl de una puerta trasera]
> Lo que entiendo es que te instalaron y ejecutaron un programa para abrir
> una puerta trasera....con exito.
> Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o
> lo hizo desde dentro...en tal caso...como entro?
> 
> Saludos


eso es lo que me pregunto yo =/..
lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni
por ssh pudo haber llegado hasta ahi.

la maquina esta detras de un router con ip privada solo acediendo a el
con redireccion de puertos.


> > y me dije que diablos !!!...
> > entonces.. me decidi a preguntar a la lista por si alguien mas o menos
> > entiende este script o podria decir como funciona.. para tomar
> > precauciones en la proxima reinstalacion del servidor. y asi protejer
> > mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
> > mas de seguridad que es tan importante.
> > Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
> > informe claro y Tecnico de lo sucedido aqui.
> > 
> > Atentamente
> > Nelson Lopez.
> > 
> > 
> 
> 
> - --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source
> Administrador de Sistemas
> http://www.eureka-linux.com.ar
> 
> 
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.1 (GNU/Linux)
> 
> iD8DBQFCqcSzkw12RhFuGy4RAnKHAJ4ujgjwVWJMWRR6CHi7wzHKZ/33dQCePD4P
> 5vvvpYMiqb7AVNXNUepXBBs=
> =RIz4
> -----END PGP SIGNATURE-----
> 
>
Reply to: