Re: Opiniones ?... Seguridad/hacking-.

To: Nelson <nlopez@cchen.cl>
Cc: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: Opiniones ?... Seguridad/hacking-.
From: Ricardo Frydman <ricardo@sinectis.com.ar>
Date: Fri, 10 Jun 2005 15:07:31 -0300
Message-id: <[🔎] 42A9D6E3.8050002@sinectis.com.ar>
In-reply-to: <[🔎] 1118425376.495.29.camel@nlopez.cchen.cl>
References: <1118420113.495.20.camel@nlopez.cchen.cl> <[🔎] 42A9C4B4.7020905@sinectis.com.ar> <[🔎] 1118425376.495.29.camel@nlopez.cchen.cl>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Nelson wrote:
> El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió:
> 
> Nelson wrote:
> 
>>Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
>>crimen contra un servidor que fue hackeado :-(
> 
> Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?
> 
> 
>> Distribucion RedHat 9

Insegura de fábrica. Discontinuada desde hace un año (!)

>> kernel 2.4.20-8

2 Siglos de antiguedad...varios fallos descubiertos, parchado?

>> firewall iptables configuracion basica solo permitia ftp y web
"solo permitia ftp" _solo_ eso ya es mucho...

>> paquetes instalados. la base + los paquetes de apache mysql php y
>> pureftpd oficial compilado.
Actualizado a fecha?.....

>> PS: se que esta es una lista debian, pero necesito recaudar datos
>> hacerca del tema. es preocupante lo que sucedio. pido disculpas si
>> molesto a alguien. :-)

****
En realidad no molestas....siempre y cuando ahora le pongas, como Dios
manda, un Debian Sarge y te preocupes un minimo por administrarlo
adecuadamente.....
La seguridad no es *solo* instalar un Sistema Operativo que no tenga
(casi) virus....Conozco servidores Windows infinitamente mas seguros y
mejor administrados que muchos Linux...
*****

>>en primera instancia puedo creer que el ataque fue hecho via web ya que
>>la maquina en si.. no tiene contacto fisico alguno con el exterior  a
>>escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
>>chroot).
> 
> Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

>> pure-ftp permite crear usuarios virtuales atados a un grupo existente en
>> la makina sin necesidad de crear el usuario de sistema, solo

https://www.linuxrocket.net/index.cgi?a=MailArchiver&ma=ShowMail&Id=190910


imagino esto al dia
http://sourceforge.net/tracker/?atid=318317&group_id=18317&func=browse

Te puede haber pasado esto:
http://www.linuxforum.com/forums/index.php?showtopic=125174

Como alguien dijo por alli, contraseñas debiles.
Hay muchos flancos por donde puede haber entrado....creo que ahora debes
preocuparte por el futuro....



>> virtualmente y lo del chroot es que el usuario queda atado netamente a
>> el "home" o directorio que uno establece para su uso al momento de
>> generar el usuario

sé lo que es un chroot......aunque lo estés definiendo de manera
equivocada ;)
http://www.argo.es/~jcea/artic/chroot.htm

> Los paquetes instalados eran todos de repositorios oficiales?
> 
> 
>>el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
>>bases de datos ssh y el equipo se colgo..

que es base de datos ssh?

>>fue una gran sorpresa al darme cuenta que cuando inicie la makina en
>>modo rescate  /var estaba vacio practicamente piendo en un rm
>>-rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
>>atake.. pero buscando en /tmp  encontre algo interezante un archivo
>>llamado _conex.pl_
> 
>>cuyo contenido muestro aqui.
> 
> [Codigo perl de una puerta trasera]
> Lo que entiendo es que te instalaron y ejecutaron un programa para abrir
> una puerta trasera....con exito.
> Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o
> lo hizo desde dentro...en tal caso...como entro?
> 
> Saludos
> 
> 
> 
>> eso es lo que me pregunto yo =/..
>> lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni
>> por ssh pudo haber llegado hasta ahi.

Bueno hay otros caminos, de eso ahora no te quedan dudas :P

> 
>> la maquina esta detras de un router con ip privada solo acediendo a el
>> con redireccion de puertos.
> 
> 
> 
>>y me dije que diablos !!!...
>>entonces.. me decidi a preguntar a la lista por si alguien mas o menos
>>entiende este script o podria decir como funciona.. para tomar
>>precauciones en la proxima reinstalacion del servidor. y asi protejer
>>mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
>>mas de seguridad que es tan importante.
>>Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
>>informe claro y Tecnico de lo sucedido aqui.
> 
>>Atentamente
>>Nelson Lopez.
> 
> 
> 
> 
> --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source
> Administrador de Sistemas
> http://www.eureka-linux.com.ar
> 
> 

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqdbjkw12RhFuGy4RAuGfAJ9r5oFrNPjs2wVtR//uN18u9+dg3ACcC0Je
HVevjeNkW7qoF7ZH8r7b7pM=
=DC9G
-----END PGP SIGNATURE-----

Reply to:

References:
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Ricardo Frydman <ricardo@sinectis.com.ar>
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Nelson <nlopez@cchen.cl>

Prev by Date: Re: Opiniones ?... Seguridad/hacking-.
Next by Date: servidor squid
Previous by thread: Re: Opiniones ?... Seguridad/hacking-.
Next by thread: Re: Opiniones ?... Seguridad/hacking-.
Index(es):
- Date
- Thread