On Mon, Feb 09, 2009 at 08:07:09AM -0800, consultores1 wrote:
> El lun, 09-02-2009 a las 10:46 -0430, Kellerman Rivero Suarez escribió:
> > El lun, 09-02-2009 a las 12:15 +0100, Francisco Calero escribió:
> > > Hola a todos, hace ya un tiempo me pasó que la contraseña de root
> > > cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di
> > > importancia porque estaba con otros haceres, de manera que restauré la
> > > clave de root y a funcionar. Hace un par de semanas me pasó lo mismo,
> > > con lo que mi sospechas fueron a mayor grado. Empecé a investigar un
> > > poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas.
> > >
> > > Estoy a punto de reinstalar el sistema base o actualizarlo para
> > > recuperar los binarios que tengo modificados y "terminar con el
> > > problema". Me gustaría investigar mas a parte de lo comentado hasta
> > > ahora para saber mas acerca de este tipo de ataques y por donde han
> > > entrado que es lo que me hace romperte el celebro, físicamente en este
> > > ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son
> > > windowseros profesionales, de manera que nadie ha cojido y se ha puesto
> > > a instalar cosas raras en el sistema, no dejo a nadie del exterior que
> > > entre al server via ssh ni vnc... resumiento, que nadie toca esta
> > > máquina menos yo, y a no ser que un día me habría fumado un porro y me
> > > pusiese a hacer cosas extrañas en el sistema, luego no se como se ha
> > > podido esto petar
Sobre todo por lo de "Me gustaria... que es lo que me hace romperTe el
cerebro" ¿A quien vas a romperle el cerebro? :-/ Que agresividad ;-D
¿Que no los dejas? Entonces... ¿Tienes un firewall? ¿O acaso (...)
tienes ssh y vnc configurados para aceptar solo conexiones locales
(xD)?
Si, por toda la conversacion yo diria que las drogas son la causa mas
probable. :-D
> > > Me da por pensar.... y me acuerdo del servidor web este que tenía el
> > > windows nt server creo que se llamaba iss 2, el caso es que pude
> > > comprobar que había un gusano/troyano como se llame que infectaba el
> > > mismo y abría el netbios de manera que podías tener acceso a los datos
> > > del infectado, que el mismo a su vez infectaba a otros servidores
> > > similares con el mismo fallo. Comento esto, porque pienso que al apache
> > > le ha pasado algo parecido, si no me explico como carajo han conseguido
> > > entrar y borrar el .bash_history, pero esto es sólo una teoría mia.
Y si, Internet Information Server es el servidor que probablemente
tenias en windows nt server. De todos modos, eso es ot, y el resto de
este parrafo no tiene demasiado sentido. Si bien se te pueden haber colado por
apache, es improbable en un sistema actualizado.
> > > A ver si alguien puede indicarme que otras cosas puedo comprobar antes
> > > de reinstalar los binarios infectados.
Todo el sistema, entero, deberias comprobar la integridad de los ficheros,
con debsums, y aun asi no te garantiza nada.
Leete el debian security howto.
De todos modos te podria aconsejar que:
a> Usaras un firewall (Si, en linux es tan necesario como en
windows).
b> Usaras algun sistema de comprobacion de integridad de
ficheros como tripwire, o un sistema como tiger, que incluye
comprobacion de integridad, host ips, revisor de logs y otras muchas
cosas. --> Y aun con todo, se te puede pasar algo.
> > > - ¿ Donde estan instalados los ficheros del f0n este ?
> > > ¿ Como se ha infectado mi máquina ?
> > > ¿ Que otra información debería comprobar antes de reparar ?
Sobre como se ha infectado tu maquina... Hay mil y una maneras, las
mil primeras tienen bastante que ver con el administrador del sistema
(supongo que ese eres tu) y la otra no la conozco.
Por lo que dices, tu sistema era un colador...
> > > Espero que este post sirva de interes para aquellos que lo consideren y
> > > colaboren a saber el porqué.... :-)
Mas que el porque, yo te recomendaria investigar mas sobre el como
evitarlo.
> > Especificamente hace algun tiempo lei, el funcionamiento de los rootkits
> > en linux, ahora bien raramente se usa la vulnerabilidad de un binario
> > para subir y escalar privilegios, asi que empiezo a responder tus
> > preguntas.
> > 1) ¿Donde estan los archivos del rootkit?
> > R: El rootkit, seguramente sobreescribio los archivos infectados a
> > traves de algun exploit que explotaba una vulnerabilidad en un servicio.
> > Asi que ya con archivos con los archivos comprometidos (probablemente
> > aquellos con el setuid de root) ya no hacen falta los archivos
> > originales si es que alguna vez los hubo.
> > 2) ¿Como se ha infectado tu maquina?
> > R: Si estas seguro que nadie fisicamente tuvo acceso a ella, seguramente
> > haya sido por algun servicio corriendo, he alli la importancia de
> > desactivar los servicios que no usemos y actualizar contra bugs y fallos
> > descubiertos los que tenemos funcionando. Seguramente un exploit se
> > aprovecho de algun servicio vulnerable.
Y de proteger fisicamente el equipo.
> > 3) ¿Que deberias hacer antes de reinstalar los binarios?
> > R: Lo mas sensato, seria verificar la tabla de llamadas al sistema, por
> > que ese es el primer objetivo de un rootkit.. al modificar la tabla de
> > llamadas al sistema se pueden ocultar procesos, o hasta conexiones de
> > red. Asi que deberias hacerte de un buen anti-rootkit que te ayude en
> > esta labor.
> Es posible que mencionaras algun "buen anti-rootkit"? por favor.
Bueno, antes de nada, una vez ha sido comprometido un sistema es muy
dificil limpiarlo. Si es tu ordenador personal o de trabajo, y no un
servidor, sin ninguna duda, backup+reinstall.
Quiero decir, el problema no es el rootkit, el problema es lo que no
ves, el atacante en cuestion puede haber colocado el rootkit y alguna
sorpresita mas por su parte, para asegurarse entradas futuras aunque
detectases y eliminases el rootkit. (PD: ¿No podia haber echo un
export HISTFILE="" ? ;-) )
Ahora un resumen:
Reinstala (Consejo: Instala el sistema base, a pelo, luego ya le
instalaras el resto a mano, asi lo tienes mas controlado).
Instalate un hids un file integrity checker un rootkit checker un
firewall y un antivirus.
Algun sistema de "hardening" para que no tengas que ir tu mismo
cambiando algunas configuraciones por defecto de debian que pueden no
ser muy seguras (para hacer un poco el vago, vamos ;-))
Desactiva los servicios que no sean necesarios.
Optiones para ello:
apt-get install tiger rkhunter bastille clamav rcconf
# Ahora configura bastille... (Bastille -c ó Bastille -x)
# De vez en cuando lanza rkhunter o creale una entrada en cron
# Lo de clamav si que es mas para sistemas windows, si haces
# de proxy o si introduces medios externos provenientes de
# windows.
# Tiger es una pasada, te dara reportes diarios si tu quieres
# Configuralo tambien, trastea con el mucho.
# rcconf es una tui para activar/desactivar servicios.
Tambien puedes instalar un nids como snort.
Revisar los logs a menudo puede serte de ayuda, hay muchos programas
para hacerte esto mas facil.
¿Me he repetido mucho? Bueno, es que basicamente esto es lo básico.
Quitando las miles de cosas que puedo (y he) olvidado.
¿Me he pasado? Yo creo que no, nunca es suficiente.
¿Me ha salido un churro de email? ... ^^Û Si...
--
http://thexayon.wordpress.com
Que la fuerza os acompañe.
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS dpu s: a--- C++++ UL++++ P++++ L+++ E--- W+++ N+++ o+ K- w---
O M+ V- PS+ PE+++ Y PGP++ t--- 5 X+++ R tv+++ b++++ DI--- D+++
G+ e- h++ r+++ y++++
------END GEEK CODE BLOCK------
--XayOn--
Linux registered user #446872
Attachment:
pgpk0O1iCMptt.pgp
Description: PGP signature