El Mon, 13 Dec 2004 17:05:45 +0100 Jaume <[EMAIL PROTECTED]> escribi�:
> Hola a todos. > Tengo un servidor de web,correo, etc.. con varias webs alojadas. > Hoy por lam a�ana me ha entrado un haquer: WhackerZ.... y me ha te ha entrado un craker > indeado todas los index.php con una p�gina suya, reivindicativa, es algo bastante com�n estos d�as > etc... Ya he restaurado el servidor (gracias a las copias..:) ), Felicitaciones por los backups!!!!!!! > pero me gustaria saber c�mo ha podido entrar. Tengo una debian woody > actualizada al m�ximo y con el shorewall haciendo de firewall y dir�s IpTables haciendo de firewall > capando todos los puertos excepto : > > apache - 80, > postfix - 25, > courier-pop - 110, > ssh - 22, > mysql - 3306 > proftpd - 21 No entiendo porque dejar en mysql al exterior, pero eso no es el punto real. El firewall puede evitar algunas cosas, pero el tr�fico "correcto" al servidor web seguro que lo dejar� pasar, por m�s que sea un exploit para el webserver. Yo me inclinar�a (por cuestiones que estuve viendo hace poco) por el webserver, y m�s si tienes WebDav o alguna galer�a de fotos hecha en PHP (hab�an varias que no son muy viejas y tienen demasiados fallos graves de seguridad). Por lo cual para estar m�s tranquilo yo que tu ir�a viendo de auditar un poco el c�digo PHP que haya, buscar vulnerabilidades ya anunciadas de los programas que tengas instalados (los programas que se relacionen directamente con el webserver). En una menor medida, tambi�n f�jate si tienes alg�n usuario que tenga una contrase�a de diccionario. En los �ltimos meses (casi un a�o) hay dando vueltas por internet un brutessh. A mi me est�n dando murra todo el d�a (hace varias semanas), pero como no tienen ning�n usuario por ahora no pueden hacer mucho (por ahora) Otra cosa que pudieron hacer es entrarte por alguna aplicaci�n web mal hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que sea en tu sistema) y as� conseguir las contrase�as con alg�n programa. > > El muy k... me ha borrado todo el directorio /var/log tambi�n. Es algo usual, yo para eso hago que cada 15 minutos se manden por mail los �ltimos logs a otra m�quina, no es lo mejor, pero al menos me quedo con bastante informaci�n (esto lo hace el logckech). > > Hay alguna manera de saber c�mo ha podido entrar ? M�s all� de lo que te mencion� antes, esa m�quina reinstalala TODA cuanto antes, pueden haber varios programas "infectados" con alg�n troyanon, con lo cual volver�n a entrar como si estuvieran en su casa. Para verificar esto para la pr�xima vez puedes fijarte que hay varios "comprobadores de integridad" de los archivos. No recuerdo ahora el nombre, pero sacaba una comprobaci�n de todos los ejecutables del base y luego eso lo pod�as grabar en un CD o lo que sea, luego cuando quer�as comprobar todo pon�as el CD y corrias la comprobaci�n, estoy casi seguro que esto lo vi en Debian hace un tiempo. Otra medida preventiva interesante podr�a ser el instalar y configurar bien un IDS como snort, no hace milagros, pero ayuda bastante contra los ataques a servicios "permitidos". -- Atentamente, yo <Mat�as> Y sin fumar desde (casi) el '1089515700' http://www.nnss.d7.be Let one walk alone, commit no sin, with few wishes, like an elephant in the forest
