Re: Opiniones ?... Seguridad/hacking-.

To: Nelson <nlopez@cchen.cl>, Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: Opiniones ?... Seguridad/hacking-.
From: Ricardo Frydman <ricardo@sinectis.com.ar>
Date: Fri, 24 Jun 2005 11:45:06 -0300
Message-id: <[🔎] 42BC1C72.7080008@sinectis.com.ar>
In-reply-to: <1118420113.495.20.camel@nlopez.cchen.cl>
References: <1118420113.495.20.camel@nlopez.cchen.cl>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Nelson wrote:
> Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
> crimen contra un servidor que fue hackeado :-(
Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?

> en primera instancia puedo creer que el ataque fue hecho via web ya que
> la maquina en si.. no tiene contacto fisico alguno con el exterior  a
> escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> chroot).

Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

Los paquetes instalados eran todos de repositorios oficiales?

> el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
> bases de datos ssh y el equipo se colgo..
> 
> fue una gran sorpresa al darme cuenta que cuando inicie la makina en
> modo rescate  /var estaba vacio practicamente piendo en un rm
> -rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
> atake.. pero buscando en /tmp  encontre algo interezante un archivo
> llamado _conex.pl_
> 
> cuyo contenido muestro aqui.
> > 

[Codigo perl de una puerta trasera]

Alguna referencia:
http://www.experts-exchange.com/Security/Linux_Security/Q_21291502.html
Lo que entiendo de alli es que mediante netcat se conecta al 9000...para
explotar alguan vulnerabilidad.
Lo que no me queda claro es si para acceder a tu host explotó esa vuln o
lo hizo desde dentro...en tal caso...como entro?

> y me dije que diablos !!!...
> entonces.. me decidi a preguntar a la lista por si alguien mas o menos
> entiende este script o podria decir como funciona.. para tomar
> precauciones en la proxima reinstalacion del servidor. y asi protejer
> mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
> mas de seguridad que es tan importante.
> Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
> informe claro y Tecnico de lo sucedido aqui.
> 
> Atentamente
> Nelson Lopez.
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCvBxykw12RhFuGy4RAhWsAJ4oVPdXzb/nDLVhs+twwV/+u19hZACggPc3
04Qp5nKs9XckcvIKIiAOEiI=
=BCVH
-----END PGP SIGNATURE-----

Reply to:

Prev by Date: Re: AMD64
Next by Date: Re: wget
Previous by thread: Re: Opiniones ?... Seguridad/hacking-.
Next by thread: PostgreSQL GUI
Index(es):
- Date
- Thread