Re: Opiniones ?... Seguridad/hacking-.

To: Ricardo Frydman <ricardo@sinectis.com.ar>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Opiniones ?... Seguridad/hacking-.
From: Nelson <nlopez@cchen.cl>
Date: Fri, 10 Jun 2005 14:30:01 -0400
Message-id: <[🔎] 1118428201.5608.5.camel@nlopez.cchen.cl>
In-reply-to: <[🔎] 42A9DC5A.7020301@sinectis.com.ar>
References: <1118420113.495.20.camel@nlopez.cchen.cl> <f59ef9d505061010055c84b163@mail.gmail.com> <[🔎] 1118427490.5608.1.camel@nlopez.cchen.cl> <[🔎] 42A9DC5A.7020301@sinectis.com.ar>

El vie, 10-06-2005 a las 15:30 -0300, Ricardo Frydman escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Nelson wrote:
> > El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
> > 
> >>Hola.
> >>
> >>Bueno, primero que todo mi sentido pesame por tu servidor
> >>espero que renasca de las cenizas y sea mejor que antes :)
> >>
> >>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
> >>en tu servidor.
> >>
> >>el atacante lo primero que realizo fue un scaneo de puertos
> >>desde alguna maquina remota que tal vez ya estaba comprometida
> >>o que tal vez era su maquina real o un proxy... no sabemos
> >>miro los puertos
> >>
> >>nmap -sS -sV -O -v -P0 tuip
> >>
> >>con esto consiguio pasarte por encima de tu firewall si lo tenias y
> >>obtener 
> >>una lista de los puertos abiertos de tu servidor junto con
> >>las versiones de los demonios que ellos corrian.
> >>
> >>ya teniendo esto y observando que tenias el ftp y sshd abiertos 
> >>la tarea que le sigue es buscar en la pagina en internet o en google 
> >>buscando correos electronicos por ejemplo webmaster@tudns.com
> >>...bueno, teniendo estas cuentas y siendo obtimistas de que 
> >>en tu servidor creaste usuarios reales en el sistema y no
> >>en una base de datos y que a ellos le colocaste en la shell /bin/bash
> >>en vez de de /bin/false... el atacante inicia en la busqueda de un
> >>exploit
> >>para tus demonios, si no lo encuentra entonces iniciara un 
> >>ataque de diccionario sobre tus servicios, creo que inicio por
> >>el sshd... suponiendo que despues de varias horas de intentar 
> >>obtuvo una entrada a tu sistema por medio de un
> >>usuariohttp://www.google.com.co/
> >>con una muy mala contraseña... luego el atacante ya tiene una shell
> >>e inicia en la busqueda de errores internos en busqueda de una 
> >>escalada de privilegios, puede buscar programas con SUID o detenerse
> >>y observar en securityfocus.com cientos de errores de seguridad
> >>que puede contener tu sistema.
> >>Suponiendo de despues de varias horas escaneando tu sistema por dentro
> >>y teniendo un exploit local consiguio acceso al root... despues de
> >>este punto
> >>tu maquina ya esta perdida y no hace falta imaginarnos que podria
> >>hacer
> >>con este poder!!!
> >>
> >>El script en perl que nombras es muy sencillo.
> >>el recive dos parametros que son los siguiente el nombre del host y su
> >>ip
> >>envia una peticion a dicho puerto de el nombre de la maquina y una
> >>shell
> >>claro que este script no funciona para nada si antes inicialisaste un
> >>puerto
> >>con shell... me explico: esto se haria por ejemplo con netcat, este
> >>permite
> >>crear un demonio que escuche determonado puerto y que cuando el se
> >>conecte
> >>le sirva un determinado archivo, ejemplo /bin/sh
> >>
> >>entonces el atacante ejecuta el guion en perl para conectarse a otra
> >>maquina objetivo
> >>conclusion: utiliso tu maquina como puente para atacar otras redes.
> >>claro que podria suponer que es muy novato o un scriptkid ya que
> >>destruyo
> >>tu sistema... yo permaneceria con una cuenta privilegiada en tu
> >>sistema :)
> >>
> >>Bueno, creo que eso es todo por el momento... si seme ocurre algomas
> >>estare escribiendo
> >>
> >>Saludos.
> > 
> > 
> > 
> > 
> > ufffff....
> > pero si casi parece una conspiracion contra el presidente :o !!!..
> Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando
> reconstruir lo sucedido".....puede no ser lo que paso (en realidad no
> creo que haya sido asi XD)
> 
> > esos parametros de nmap nos los conocia y me parecieron bastante
> > interesantes y asombrosos.. mas bien. preocupante diria yo..
> Depende como configures tu firewall...
> 
> > que hacer ante un caso como este ?... de que forma se podria prevenir
> > este tipo de scaneos en un sistema ?...
> Configurando adecuadamente tu firewall para prevenirte contra ese tipo
> de escaneos + otras herramientas de deteccion, aunque dudo que lo
> necesites, si me lo preguntas...
> 
> > que preocupante poder ver este tipo de accion. y ver que no basta con
> > las posibles "soluciones de seguridad" que se implementen siempre habra
> > algo que logre saltar un sistema =/...
> Bueno, es cuestion de reducir posibilidades...como te conteste recien en
> otro correo, creo que dejaste las cosas demasiado al azar por decirlo de
> algun modo...
> 
> > salu2 y en este mismo momento me dispongo a reeleer el manual de
> > iptables para mejorar el firewall de aquella empresa...
> Puedes leer tambien:
> http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html
> 
> > consejos ?..
> Ahi fue uno...
> Otro: olvida la paranoia, que te sirva para el futuro....
> 



Muchas gracias por los consejos y lo de la paranoia quisas si entre un
poco en panico.. pero como dices la guardare para el futuro.. ahora me
dedicare a robustecer el firewall :-)...

muchas gracias..

Reply to:

Follow-Ups:
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Ricardo Frydman <ricardo@sinectis.com.ar>
- Re: Opiniones ?... Seguridad/hacking-.
  - From: navickator shadow <navickator@gmail.com>

References:
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Nelson <nlopez@cchen.cl>
- Re: Opiniones ?... Seguridad/hacking-.
  - From: Ricardo Frydman <ricardo@sinectis.com.ar>

Prev by Date: Re: Opiniones ?... Seguridad/hacking-.
Next by Date: Re: Opiniones ?... Seguridad/hacking-.
Previous by thread: Re: Opiniones ?... Seguridad/hacking-.
Next by thread: Re: Opiniones ?... Seguridad/hacking-.
Index(es):
- Date
- Thread