Re: Opiniones ?... Seguridad/hacking-.

To: Nelson <nlopez@cchen.cl>
Cc: navickator shadow <navickator@gmail.com>, debian-user-spanish@lists.debian.org
Subject: Re: Opiniones ?... Seguridad/hacking-.
From: Ricardo Frydman <ricardo@sinectis.com.ar>
Date: Fri, 10 Jun 2005 15:30:50 -0300
Message-id: <[🔎] 42A9DC5A.7020301@sinectis.com.ar>
In-reply-to: <[🔎] 1118427490.5608.1.camel@nlopez.cchen.cl>
References: <1118420113.495.20.camel@nlopez.cchen.cl> <f59ef9d505061010055c84b163@mail.gmail.com> <[🔎] 1118427490.5608.1.camel@nlopez.cchen.cl>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Nelson wrote:
> El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
> 
>>Hola.
>>
>>Bueno, primero que todo mi sentido pesame por tu servidor
>>espero que renasca de las cenizas y sea mejor que antes :)
>>
>>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
>>en tu servidor.
>>
>>el atacante lo primero que realizo fue un scaneo de puertos
>>desde alguna maquina remota que tal vez ya estaba comprometida
>>o que tal vez era su maquina real o un proxy... no sabemos
>>miro los puertos
>>
>>nmap -sS -sV -O -v -P0 tuip
>>
>>con esto consiguio pasarte por encima de tu firewall si lo tenias y
>>obtener 
>>una lista de los puertos abiertos de tu servidor junto con
>>las versiones de los demonios que ellos corrian.
>>
>>ya teniendo esto y observando que tenias el ftp y sshd abiertos 
>>la tarea que le sigue es buscar en la pagina en internet o en google 
>>buscando correos electronicos por ejemplo webmaster@tudns.com
>>...bueno, teniendo estas cuentas y siendo obtimistas de que 
>>en tu servidor creaste usuarios reales en el sistema y no
>>en una base de datos y que a ellos le colocaste en la shell /bin/bash
>>en vez de de /bin/false... el atacante inicia en la busqueda de un
>>exploit
>>para tus demonios, si no lo encuentra entonces iniciara un 
>>ataque de diccionario sobre tus servicios, creo que inicio por
>>el sshd... suponiendo que despues de varias horas de intentar 
>>obtuvo una entrada a tu sistema por medio de un
>>usuariohttp://www.google.com.co/
>>con una muy mala contraseña... luego el atacante ya tiene una shell
>>e inicia en la busqueda de errores internos en busqueda de una 
>>escalada de privilegios, puede buscar programas con SUID o detenerse
>>y observar en securityfocus.com cientos de errores de seguridad
>>que puede contener tu sistema.
>>Suponiendo de despues de varias horas escaneando tu sistema por dentro
>>y teniendo un exploit local consiguio acceso al root... despues de
>>este punto
>>tu maquina ya esta perdida y no hace falta imaginarnos que podria
>>hacer
>>con este poder!!!
>>
>>El script en perl que nombras es muy sencillo.
>>el recive dos parametros que son los siguiente el nombre del host y su
>>ip
>>envia una peticion a dicho puerto de el nombre de la maquina y una
>>shell
>>claro que este script no funciona para nada si antes inicialisaste un
>>puerto
>>con shell... me explico: esto se haria por ejemplo con netcat, este
>>permite
>>crear un demonio que escuche determonado puerto y que cuando el se
>>conecte
>>le sirva un determinado archivo, ejemplo /bin/sh
>>
>>entonces el atacante ejecuta el guion en perl para conectarse a otra
>>maquina objetivo
>>conclusion: utiliso tu maquina como puente para atacar otras redes.
>>claro que podria suponer que es muy novato o un scriptkid ya que
>>destruyo
>>tu sistema... yo permaneceria con una cuenta privilegiada en tu
>>sistema :)
>>
>>Bueno, creo que eso es todo por el momento... si seme ocurre algomas
>>estare escribiendo
>>
>>Saludos.
> 
> 
> 
> 
> ufffff....
> pero si casi parece una conspiracion contra el presidente :o !!!..
Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando
reconstruir lo sucedido".....puede no ser lo que paso (en realidad no
creo que haya sido asi XD)

> esos parametros de nmap nos los conocia y me parecieron bastante
> interesantes y asombrosos.. mas bien. preocupante diria yo..
Depende como configures tu firewall...

> que hacer ante un caso como este ?... de que forma se podria prevenir
> este tipo de scaneos en un sistema ?...
Configurando adecuadamente tu firewall para prevenirte contra ese tipo
de escaneos + otras herramientas de deteccion, aunque dudo que lo
necesites, si me lo preguntas...

> que preocupante poder ver este tipo de accion. y ver que no basta con
> las posibles "soluciones de seguridad" que se implementen siempre habra
> algo que logre saltar un sistema =/...
Bueno, es cuestion de reducir posibilidades...como te conteste recien en
otro correo, creo que dejaste las cosas demasiado al azar por decirlo de
algun modo...

> salu2 y en este mismo momento me dispongo a reeleer el manual de
> iptables para mejorar el firewall de aquella empresa...
Puedes leer tambien:
http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html

> consejos ?..
Ahi fue uno...
Otro: olvida la paranoia, que te sirva para el futuro....

> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd
9M9W04rQ/QSkeAkNjw1uvPA=
=vKmw
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Nelson <nlopez@cchen.cl>
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Danny Rojas Barría <drrb@vtr.net>

References:
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Nelson <nlopez@cchen.cl>

Prev by Date: Re: PostgreSQL GUI
Next by Date: Re: Opiniones ?... Seguridad/hacking-.
Previous by thread: Re: Opiniones ?... Seguridad/hacking-.
Next by thread: Re: Opiniones ?... Seguridad/hacking-.
Index(es):
- Date
- Thread