-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Nelson wrote:
El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
Hola.
Bueno, primero que todo mi sentido pesame por tu servidor
espero que renasca de las cenizas y sea mejor que antes :)
ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
en tu servidor.
el atacante lo primero que realizo fue un scaneo de puertos
desde alguna maquina remota que tal vez ya estaba comprometida
o que tal vez era su maquina real o un proxy... no sabemos
miro los puertos
nmap -sS -sV -O -v -P0 tuip
con esto consiguio pasarte por encima de tu firewall si lo tenias y
obtener
una lista de los puertos abiertos de tu servidor junto con
las versiones de los demonios que ellos corrian.
ya teniendo esto y observando que tenias el ftp y sshd abiertos
la tarea que le sigue es buscar en la pagina en internet o en google
buscando correos electronicos por ejemplo webmaster@tudns.com
...bueno, teniendo estas cuentas y siendo obtimistas de que
en tu servidor creaste usuarios reales en el sistema y no
en una base de datos y que a ellos le colocaste en la shell /bin/bash
en vez de de /bin/false... el atacante inicia en la busqueda de un
exploit
para tus demonios, si no lo encuentra entonces iniciara un
ataque de diccionario sobre tus servicios, creo que inicio por
el sshd... suponiendo que despues de varias horas de intentar
obtuvo una entrada a tu sistema por medio de un
usuariohttp://www.google.com.co/
con una muy mala contraseña... luego el atacante ya tiene una shell
e inicia en la busqueda de errores internos en busqueda de una
escalada de privilegios, puede buscar programas con SUID o detenerse
y observar en securityfocus.com cientos de errores de seguridad
que puede contener tu sistema.
Suponiendo de despues de varias horas escaneando tu sistema por dentro
y teniendo un exploit local consiguio acceso al root... despues de
este punto
tu maquina ya esta perdida y no hace falta imaginarnos que podria
hacer
con este poder!!!
El script en perl que nombras es muy sencillo.
el recive dos parametros que son los siguiente el nombre del host y su
ip
envia una peticion a dicho puerto de el nombre de la maquina y una
shell
claro que este script no funciona para nada si antes inicialisaste un
puerto
con shell... me explico: esto se haria por ejemplo con netcat, este
permite
crear un demonio que escuche determonado puerto y que cuando el se
conecte
le sirva un determinado archivo, ejemplo /bin/sh
entonces el atacante ejecuta el guion en perl para conectarse a otra
maquina objetivo
conclusion: utiliso tu maquina como puente para atacar otras redes.
claro que podria suponer que es muy novato o un scriptkid ya que
destruyo
tu sistema... yo permaneceria con una cuenta privilegiada en tu
sistema :)
Bueno, creo que eso es todo por el momento... si seme ocurre algomas
estare escribiendo
Saludos.
ufffff....
pero si casi parece una conspiracion contra el presidente :o !!!..
Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando
reconstruir lo sucedido".....puede no ser lo que paso (en realidad no
creo que haya sido asi XD)
esos parametros de nmap nos los conocia y me parecieron bastante
interesantes y asombrosos.. mas bien. preocupante diria yo..
Depende como configures tu firewall...
que hacer ante un caso como este ?... de que forma se podria prevenir
este tipo de scaneos en un sistema ?...
Configurando adecuadamente tu firewall para prevenirte contra ese tipo
de escaneos + otras herramientas de deteccion, aunque dudo que lo
necesites, si me lo preguntas...
que preocupante poder ver este tipo de accion. y ver que no basta con
las posibles "soluciones de seguridad" que se implementen siempre habra
algo que logre saltar un sistema =/...
Bueno, es cuestion de reducir posibilidades...como te conteste recien en
otro correo, creo que dejaste las cosas demasiado al azar por decirlo de
algun modo...
salu2 y en este mismo momento me dispongo a reeleer el manual de
iptables para mejorar el firewall de aquella empresa...
Puedes leer tambien:
http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html
consejos ?..
Ahi fue uno...
Otro: olvida la paranoia, que te sirva para el futuro....
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd
9M9W04rQ/QSkeAkNjw1uvPA=
=vKmw
-----END PGP SIGNATURE-----