Re: Opiniones ?... Seguridad/hacking-.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Nelson wrote:
> Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
> crimen contra un servidor que fue hackeado :-(
Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?
> en primera instancia puedo creer que el ataque fue hecho via web ya que
> la maquina en si.. no tiene contacto fisico alguno con el exterior a
> escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> chroot).
Usuarios virtuales en chroot: podrias ampliarnos el concepto?
Los paquetes instalados eran todos de repositorios oficiales?
> el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
> bases de datos ssh y el equipo se colgo..
>
> fue una gran sorpresa al darme cuenta que cuando inicie la makina en
> modo rescate /var estaba vacio practicamente piendo en un rm
> -rf /var :-(... por ende.. no tengo logs para buscar algun tipo de
> atake.. pero buscando en /tmp encontre algo interezante un archivo
> llamado _conex.pl_
>
> cuyo contenido muestro aqui.
> >
[Codigo perl de una puerta trasera]
Alguna referencia:
http://www.experts-exchange.com/Security/Linux_Security/Q_21291502.html
Lo que entiendo de alli es que mediante netcat se conecta al 9000...para
explotar alguan vulnerabilidad.
Lo que no me queda claro es si para acceder a tu host explotó esa vuln o
lo hizo desde dentro...en tal caso...como entro?
> y me dije que diablos !!!...
> entonces.. me decidi a preguntar a la lista por si alguien mas o menos
> entiende este script o podria decir como funciona.. para tomar
> precauciones en la proxima reinstalacion del servidor. y asi protejer
> mejor los servicios. y claro esta.. asi todos aprendemos un poquito
> mas de seguridad que es tan importante.
> Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
> informe claro y Tecnico de lo sucedido aqui.
>
> Atentamente
> Nelson Lopez.
>
>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFCvBxykw12RhFuGy4RAhWsAJ4oVPdXzb/nDLVhs+twwV/+u19hZACggPc3
04Qp5nKs9XckcvIKIiAOEiI=
=BCVH
-----END PGP SIGNATURE-----
Reply to: