Re: Opiniones ?... Seguridad/hacking-.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Nelson wrote:
> El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió:
>
> Nelson wrote:
>
>>Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
>>crimen contra un servidor que fue hackeado :-(
>
> Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?
>
>
>> Distribucion RedHat 9
Insegura de fábrica. Discontinuada desde hace un año (!)
>> kernel 2.4.20-8
2 Siglos de antiguedad...varios fallos descubiertos, parchado?
>> firewall iptables configuracion basica solo permitia ftp y web
"solo permitia ftp" _solo_ eso ya es mucho...
>> paquetes instalados. la base + los paquetes de apache mysql php y
>> pureftpd oficial compilado.
Actualizado a fecha?.....
>> PS: se que esta es una lista debian, pero necesito recaudar datos
>> hacerca del tema. es preocupante lo que sucedio. pido disculpas si
>> molesto a alguien. :-)
****
En realidad no molestas....siempre y cuando ahora le pongas, como Dios
manda, un Debian Sarge y te preocupes un minimo por administrarlo
adecuadamente.....
La seguridad no es *solo* instalar un Sistema Operativo que no tenga
(casi) virus....Conozco servidores Windows infinitamente mas seguros y
mejor administrados que muchos Linux...
*****
>>en primera instancia puedo creer que el ataque fue hecho via web ya que
>>la maquina en si.. no tiene contacto fisico alguno con el exterior a
>>escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
>>chroot).
>
> Usuarios virtuales en chroot: podrias ampliarnos el concepto?
>> pure-ftp permite crear usuarios virtuales atados a un grupo existente en
>> la makina sin necesidad de crear el usuario de sistema, solo
https://www.linuxrocket.net/index.cgi?a=MailArchiver&ma=ShowMail&Id=190910
imagino esto al dia
http://sourceforge.net/tracker/?atid=318317&group_id=18317&func=browse
Te puede haber pasado esto:
http://www.linuxforum.com/forums/index.php?showtopic=125174
Como alguien dijo por alli, contraseñas debiles.
Hay muchos flancos por donde puede haber entrado....creo que ahora debes
preocuparte por el futuro....
>> virtualmente y lo del chroot es que el usuario queda atado netamente a
>> el "home" o directorio que uno establece para su uso al momento de
>> generar el usuario
sé lo que es un chroot......aunque lo estés definiendo de manera
equivocada ;)
http://www.argo.es/~jcea/artic/chroot.htm
> Los paquetes instalados eran todos de repositorios oficiales?
>
>
>>el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
>>bases de datos ssh y el equipo se colgo..
que es base de datos ssh?
>>fue una gran sorpresa al darme cuenta que cuando inicie la makina en
>>modo rescate /var estaba vacio practicamente piendo en un rm
>>-rf /var :-(... por ende.. no tengo logs para buscar algun tipo de
>>atake.. pero buscando en /tmp encontre algo interezante un archivo
>>llamado _conex.pl_
>
>>cuyo contenido muestro aqui.
>
> [Codigo perl de una puerta trasera]
> Lo que entiendo es que te instalaron y ejecutaron un programa para abrir
> una puerta trasera....con exito.
> Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o
> lo hizo desde dentro...en tal caso...como entro?
>
> Saludos
>
>
>
>> eso es lo que me pregunto yo =/..
>> lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni
>> por ssh pudo haber llegado hasta ahi.
Bueno hay otros caminos, de eso ahora no te quedan dudas :P
>
>> la maquina esta detras de un router con ip privada solo acediendo a el
>> con redireccion de puertos.
>
>
>
>>y me dije que diablos !!!...
>>entonces.. me decidi a preguntar a la lista por si alguien mas o menos
>>entiende este script o podria decir como funciona.. para tomar
>>precauciones en la proxima reinstalacion del servidor. y asi protejer
>>mejor los servicios. y claro esta.. asi todos aprendemos un poquito
>>mas de seguridad que es tan importante.
>>Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
>>informe claro y Tecnico de lo sucedido aqui.
>
>>Atentamente
>>Nelson Lopez.
>
>
>
>
> --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source
> Administrador de Sistemas
> http://www.eureka-linux.com.ar
>
>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFCqdbjkw12RhFuGy4RAuGfAJ9r5oFrNPjs2wVtR//uN18u9+dg3ACcC0Je
HVevjeNkW7qoF7ZH8r7b7pM=
=DC9G
-----END PGP SIGNATURE-----
Reply to: