Re: [OT] posible intrusion Linux

[agroconsultor <agroconsultor0@gmail.com>]

2013/6/19 agroconsultor <agroconsultor0@gmail.com>
> > Se trata de 1 servidor Linux corriendo: www, ftp, ssh, sendmail.
> >
> > El IPtables es:
> >
> > #!/bin/sh
> >
> > IPTABLES=/sbin/iptables
> >
> > # (1) Limpiar reglas anteriores:
> > iptables -F
> >
> > # (2) Definir regla/cadena/tabla:
> > iptables -P INPUT DROP
> > iptables -P FORWARD DROP
> > iptables -P OUTPUT DROP
> >
> > # (3) Aceptar todo para localhost:
> > iptables -A INPUT -i lo -j ACCEPT
> > iptables -A OUTPUT -o lo -j ACCEPT
> >
> > # (4) limitar el acceso de paquetes nuevos
> > iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j
> > DROP
> >
> > # (5) flag SYN
> > iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
> >
> > # (6) icmp (ping)
> > iptables -A INPUT -p icmp -j DROP
> > iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT
> >
> > # (7) Aceptar ssh -p 22 openssh:
> > iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j
> > ACCEPT
> > iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j
> > ACCEPT
> >
> > # (8) Aceptar www -p 80 apache:
> > iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
> > iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j
> > ACCEPT
> >
> > # (9) webs seguras -p 443:
> > iptables -A INPUT -p tcp -m tcp --dport 443 -m state --state
> > NEW,ESTABLISHED -j ACCEPT
> > iptables -A OUTPUT -p tcp --sport 443 -m state --state
> > NEW,RELATED,ESTABLISHED -j ACCEPT
> >
> > # (10) ftp -p 21 20000 vsftpd:
> > iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j
> > ACCEPT
> > iptables -A INPUT -p tcp --dport 20000 -m state --state
> > ESTABLISHED,RELATED -j ACCEPT
> > iptables -A OUTPUT -p tcp --sport 20000 -m state --state
> > ESTABLISHED,RELATED -j ACCEPT
> >
> > #(11) SMTP -p 25 sendmail:
> > iptables -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j
> > ACCEPT
> > iptables -A OUTPUT -p tcp --sport 25 -m state --state NEW,ESTABLISHED -j
> > ACCEPT
> >
> > # (14) salir:
> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> > # (15) Registrar paquetes:
> > iptables -A INPUT -j LOG --log-level 4 --log-prefix "ENTRAR:"
> > iptables -A OUTPUT -j LOG --log-level 4 --log-prefix "SALIR:"
> >
> > Alguno ve algo interesante en las reglas?
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org
> > Archive:
> > [🔎] 20130619094032.GA24875@videosgsa.dyndns.org">http://lists.debian.org/[🔎] 20130619094032.GA24875@videosgsa.dyndns.org

On 06/19/2013 09:01 AM, Atilio wrote:
> para mi al contrario le faltan cosas en lugar de ver algo interesante.
> Estaria bueno utilizar con algo nuevo de hash visto en el kernel 3.9 y
> alguito de conntrack, ademas de faltar los logs de conexiones por puerto de
> ser necesario, falta control para dns etc.
>
> es solo una opinion. estaria bueno armar algo entre todos.
>
> slds.

Atilio:
El scipt esta completo, puse solo lo del filtro, lo "interesante" es la 
regla de sendmail -p 25, "NEW"; esto abrio la puerta para inyectar el 
codigo del exploit relacionado con los ordenadores 36 bits, sin soporte 
para pae. Los sintomas fueron: mensajes en el log de mail con el codigo 
del exploit.

Inicio el 14 de junio en la noche y lo descubri el 17 en la manana; 
primero por que al enviar mensajes, no aparecia el dominio del servidor, 
sino que el del ISP, segundo, aparecieron archivos solo de lectura para 
root, rc.firewall y otros. Este es un [OT] en esta lista, pero el fallo 
fue en la regla de IPtables. Me parece que es este: 
http://cr0security.com/?leet=artikel&id=28

hasta luego.