Como dice Mat�as yo me decanto por alg�n fallo de aplicaci�n. Alguna caspez tipo tal.php?file=pepe.pdf sin comprobar que no te puedan hacer una escalada de directorios, etc, etc.
Puedes mirar si te han hecho algo m�s que zumbarse la web pasando alg�n programa como el chkrootkit, aunque como bien dice Mat�as yo reinstalar�a toda la m�quina tambi�n. Ampliando un poco lo que te dec�a �l sobre firmar ficheros prueba tripwire o aide, que viene a ser parecido pero en libre. De paso actualiza el kernel que si no recuerdo mal 2.4.21 segu�a teniendo el agujero del ptrace o similar. Si no la vas a reinstalar (que repito que yo no lo har�a) comprueba ficheros setuidados, etc. Eso s�, si vas a usar find para hacer alg�n tipo de an�lisis forense ten en cuenta montar la partici�n como s�lo lectura o vas a cambiar el timestamp de todos los ficheros que busques con find y no queremos eso, no? ;) On Mon, Dec 13, 2004 at 02:07:14PM -0300, Matias 'nnss' Palomec wrote: >El Mon, 13 Dec 2004 17:05:45 +0100 >Jaume <[EMAIL PROTECTED]> escribi�: > >> Hola a todos. >> Tengo un servidor de web,correo, etc.. con varias webs alojadas. >> Hoy por lam a�ana me ha entrado un haquer: WhackerZ.... y me ha > >te ha entrado un craker > >> indeado todas los index.php con una p�gina suya, reivindicativa, > >es algo bastante com�n estos d�as > >> etc... Ya he restaurado el servidor (gracias a las copias..:) ), > >Felicitaciones por los backups!!!!!!! > >> pero me gustaria saber c�mo ha podido entrar. Tengo una debian woody >> actualizada al m�ximo y con el shorewall haciendo de firewall y > >dir�s IpTables haciendo de firewall > >> capando todos los puertos excepto : >> >> apache - 80, >> postfix - 25, >> courier-pop - 110, >> ssh - 22, >> mysql - 3306 >> proftpd - 21 > >No entiendo porque dejar en mysql al exterior, pero eso no es el punto >real. > >El firewall puede evitar algunas cosas, pero el tr�fico "correcto" al >servidor web seguro que lo dejar� pasar, por m�s que sea un exploit >para el webserver. > >Yo me inclinar�a (por cuestiones que estuve viendo hace poco) por el >webserver, y m�s si tienes WebDav o alguna galer�a de fotos hecha en >PHP (hab�an varias que no son muy viejas y tienen demasiados fallos >graves de seguridad). Por lo cual para estar m�s tranquilo yo que tu >ir�a viendo de auditar un poco el c�digo PHP que haya, buscar >vulnerabilidades ya anunciadas de los programas que tengas instalados >(los programas que se relacionen directamente con el webserver). > >En una menor medida, tambi�n f�jate si tienes alg�n usuario que tenga >una contrase�a de diccionario. En los �ltimos meses (casi un a�o) hay >dando vueltas por internet un brutessh. A mi me est�n dando murra todo >el d�a (hace varias semanas), pero como no tienen ning�n usuario por >ahora no pueden hacer mucho (por ahora) > >Otra cosa que pudieron hacer es entrarte por alguna aplicaci�n web mal >hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que >sea en tu sistema) y as� conseguir las contrase�as con alg�n programa. > >> >> El muy k... me ha borrado todo el directorio /var/log tambi�n. > >Es algo usual, yo para eso hago que cada 15 minutos se manden por mail >los �ltimos logs a otra m�quina, no es lo mejor, pero al menos me >quedo con bastante informaci�n (esto lo hace el logckech). > >> >> Hay alguna manera de saber c�mo ha podido entrar ? > >M�s all� de lo que te mencion� antes, esa m�quina reinstalala TODA >cuanto antes, pueden haber varios programas "infectados" con alg�n >troyanon, con lo cual volver�n a entrar como si estuvieran en su casa. >Para verificar esto para la pr�xima vez puedes fijarte que hay varios >"comprobadores de integridad" de los archivos. No recuerdo ahora el >nombre, pero sacaba una comprobaci�n de todos los ejecutables del base >y luego eso lo pod�as grabar en un CD o lo que sea, luego cuando >quer�as comprobar todo pon�as el CD y corrias la comprobaci�n, estoy >casi seguro que esto lo vi en Debian hace un tiempo. > >Otra medida preventiva interesante podr�a ser el instalar y configurar >bien un IDS como snort, no hace milagros, pero ayuda bastante contra >los ataques a servicios "permitidos". > > >-- >Atentamente, yo <Mat�as> >Y sin fumar desde (casi) el '1089515700' >http://www.nnss.d7.be >Let one walk alone, commit no sin, >with few wishes, like an elephant in the forest > > >-- >To UNSUBSCRIBE, email to [EMAIL PROTECTED] >with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Un saludo ---------------------------------------------------------------- Alberto Cors�n Lafuente :: IP Soluciones c/Francisco Sancha 4 :: Madrid 28034 Tlf: +34 917283950 :: Fax: +34 917291414 [EMAIL PROTECTED] :: http://www.ipsoluciones.com ----------------------------------------------------------------
