[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RE: Servidor COMPROMETIDO

On 21-May-2002 Clark Kent wrote:
> que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la 
> mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor 
> de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO 
> SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red. 
> Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga 
> en modo promiscuo, modifico archivos de configuracion para permitir su 
> ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y 
> vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS 
> del sistema y algunos archivos para su posterior analisis, y despues 
> reinstalar TODO el Servidor. De todos modos, por lo que pude ver, 
> practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien 
> sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos. 
> Como puedo hacer para localizar al intruso???? Hay alguna manera de poner 
> una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo 
> saber COMO hizo para entrar??? Que hago???
> Bueno, muchas gracias......
> 

Para localizar al intruso, necesitas algo aunque sea minima, de informacion de
logging. Si dices que los has salvado miralos con cuidado, analizando todas la
IPs que aparecen. Si tienes un sistema con varias maquinas, mira todos los logs
de todas puesto que si usas NIS/LDAP o similar o con un tiempo que haya estado
con el sniffer ( para eso pone tu tarjeta en modo promiscuo ) ha podido pillar
passwords de otros sistemas. 

Existen formas de logear imborrables como grabar toda la info de log
directamente en un CD o que salga por impresora. No necesitas hacerlo de toda,
puedes hacer un filtro de todas las IPs que acceden y que syslog lo escriba en 
/dev/lp0 directamente. Para cuando fuera a borrar el log, este ya estaria
impreso. Un truco bastante trivial pero que deja sin recursos (si es que
tienen) a algunos listillos script-kiddies, es fijar tu directorio /var/log con
el atributo de extfs "inmutable" (si usas ext2/ext3, claro esta) :

# chattr -R +i /var/log
 
Tengo alguna experiencia y la mayoria de veces dejan pistas. Mira el history
del bash, comprueba los servicios que tenias activos y si hay xploits
conocidos, si usas tcp-wrappers, acota la entrada por sitios determinados.
Tambien la politica de contraseñas suele ser la causa mas habitual
de ataques.  

Usas tripwire ? Te ayudara a saber que han hecho en tu sistema, que han
cambiado. Tambien puedes comprobar todos los checksum de los paquetes deb.Te
cuento cosas bastante basicas que posiblemente ya sepas pero que a veces se
pasan por alto. 

Si quieres molestarte mas ( y perder algo de tiempo ) puedes ponerle un
sistema trampa, de forma que ciertos servicios a ciertas IPs se direccionen a
otro sistema que hayas preparado para la captura de info del sujeto. Aqui ya
entra tus ganas y habilidad. 

Un saludo. Pedro.

> _________________________________________________________________
> Send and receive Hotmail on your mobile device: http://mobile.msn.com
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----------------------------------------------
E-Mail: Pedro Bados <pedrobados@eresmas.net>
Date: 22-May-2002 
-----------------------------------------------


-- 
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: