Re: Opiniones ?... Seguridad/hacking-.
El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
> Hola.
>
> Bueno, primero que todo mi sentido pesame por tu servidor
> espero que renasca de las cenizas y sea mejor que antes :)
>
> ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
> en tu servidor.
>
> el atacante lo primero que realizo fue un scaneo de puertos
> desde alguna maquina remota que tal vez ya estaba comprometida
> o que tal vez era su maquina real o un proxy... no sabemos
> miro los puertos
>
> nmap -sS -sV -O -v -P0 tuip
>
> con esto consiguio pasarte por encima de tu firewall si lo tenias y
> obtener
> una lista de los puertos abiertos de tu servidor junto con
> las versiones de los demonios que ellos corrian.
>
> ya teniendo esto y observando que tenias el ftp y sshd abiertos
> la tarea que le sigue es buscar en la pagina en internet o en google
> buscando correos electronicos por ejemplo webmaster@tudns.com
> ...bueno, teniendo estas cuentas y siendo obtimistas de que
> en tu servidor creaste usuarios reales en el sistema y no
> en una base de datos y que a ellos le colocaste en la shell /bin/bash
> en vez de de /bin/false... el atacante inicia en la busqueda de un
> exploit
> para tus demonios, si no lo encuentra entonces iniciara un
> ataque de diccionario sobre tus servicios, creo que inicio por
> el sshd... suponiendo que despues de varias horas de intentar
> obtuvo una entrada a tu sistema por medio de un
> usuariohttp://www.google.com.co/
> con una muy mala contraseña... luego el atacante ya tiene una shell
> e inicia en la busqueda de errores internos en busqueda de una
> escalada de privilegios, puede buscar programas con SUID o detenerse
> y observar en securityfocus.com cientos de errores de seguridad
> que puede contener tu sistema.
> Suponiendo de despues de varias horas escaneando tu sistema por dentro
> y teniendo un exploit local consiguio acceso al root... despues de
> este punto
> tu maquina ya esta perdida y no hace falta imaginarnos que podria
> hacer
> con este poder!!!
>
> El script en perl que nombras es muy sencillo.
> el recive dos parametros que son los siguiente el nombre del host y su
> ip
> envia una peticion a dicho puerto de el nombre de la maquina y una
> shell
> claro que este script no funciona para nada si antes inicialisaste un
> puerto
> con shell... me explico: esto se haria por ejemplo con netcat, este
> permite
> crear un demonio que escuche determonado puerto y que cuando el se
> conecte
> le sirva un determinado archivo, ejemplo /bin/sh
>
> entonces el atacante ejecuta el guion en perl para conectarse a otra
> maquina objetivo
> conclusion: utiliso tu maquina como puente para atacar otras redes.
> claro que podria suponer que es muy novato o un scriptkid ya que
> destruyo
> tu sistema... yo permaneceria con una cuenta privilegiada en tu
> sistema :)
>
> Bueno, creo que eso es todo por el momento... si seme ocurre algomas
> estare escribiendo
>
> Saludos.
ufffff....
pero si casi parece una conspiracion contra el presidente :o !!!..
esos parametros de nmap nos los conocia y me parecieron bastante
interesantes y asombrosos.. mas bien. preocupante diria yo..
que hacer ante un caso como este ?... de que forma se podria prevenir
este tipo de scaneos en un sistema ?...
que preocupante poder ver este tipo de accion. y ver que no basta con
las posibles "soluciones de seguridad" que se implementen siempre habra
algo que logre saltar un sistema =/...
salu2 y en este mismo momento me dispongo a reeleer el manual de
iptables para mejorar el firewall de aquella empresa...
consejos ?..
Reply to: