-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nelson wrote: > El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió: > > Nelson wrote: > >>Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del >>crimen contra un servidor que fue hackeado :-( > > Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria? > > >> Distribucion RedHat 9
Insegura de fábrica. Discontinuada desde hace un año (!) >> kernel 2.4.20-8 2 Siglos de antiguedad...varios fallos descubiertos, parchado? >> firewall iptables configuracion basica solo permitia ftp y web "solo permitia ftp" _solo_ eso ya es mucho... >> paquetes instalados. la base + los paquetes de apache mysql php y >> pureftpd oficial compilado. Actualizado a fecha?..... >> PS: se que esta es una lista debian, pero necesito recaudar datos >> hacerca del tema. es preocupante lo que sucedio. pido disculpas si >> molesto a alguien. :-) **** En realidad no molestas....siempre y cuando ahora le pongas, como Dios manda, un Debian Sarge y te preocupes un minimo por administrarlo adecuadamente..... La seguridad no es *solo* instalar un Sistema Operativo que no tenga (casi) virus....Conozco servidores Windows infinitamente mas seguros y mejor administrados que muchos Linux... ***** >>en primera instancia puedo creer que el ataque fue hecho via web ya que >>la maquina en si.. no tiene contacto fisico alguno con el exterior a >>escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en >>chroot). > > Usuarios virtuales en chroot: podrias ampliarnos el concepto? >> pure-ftp permite crear usuarios virtuales atados a un grupo existente en >> la makina sin necesidad de crear el usuario de sistema, solo https://www.linuxrocket.net/index.cgi?a=MailArchiver&ma=ShowMail&Id=190910 imagino esto al dia http://sourceforge.net/tracker/?atid=318317&group_id=18317&func=browse Te puede haber pasado esto: http://www.linuxforum.com/forums/index.php?showtopic=125174 Como alguien dijo por alli, contraseñas debiles. Hay muchos flancos por donde puede haber entrado....creo que ahora debes preocuparte por el futuro.... >> virtualmente y lo del chroot es que el usuario queda atado netamente a >> el "home" o directorio que uno establece para su uso al momento de >> generar el usuario sé lo que es un chroot......aunque lo estés definiendo de manera equivocada ;) http://www.argo.es/~jcea/artic/chroot.htm > Los paquetes instalados eran todos de repositorios oficiales? > > >>el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web >>bases de datos ssh y el equipo se colgo.. que es base de datos ssh? >>fue una gran sorpresa al darme cuenta que cuando inicie la makina en >>modo rescate /var estaba vacio practicamente piendo en un rm >>-rf /var :-(... por ende.. no tengo logs para buscar algun tipo de >>atake.. pero buscando en /tmp encontre algo interezante un archivo >>llamado _conex.pl_ > >>cuyo contenido muestro aqui. > > [Codigo perl de una puerta trasera] > Lo que entiendo es que te instalaron y ejecutaron un programa para abrir > una puerta trasera....con exito. > Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o > lo hizo desde dentro...en tal caso...como entro? > > Saludos > > > >> eso es lo que me pregunto yo =/.. >> lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni >> por ssh pudo haber llegado hasta ahi. Bueno hay otros caminos, de eso ahora no te quedan dudas :P > >> la maquina esta detras de un router con ip privada solo acediendo a el >> con redireccion de puertos. > > > >>y me dije que diablos !!!... >>entonces.. me decidi a preguntar a la lista por si alguien mas o menos >>entiende este script o podria decir como funciona.. para tomar >>precauciones en la proxima reinstalacion del servidor. y asi protejer >>mejor los servicios. y claro esta.. asi todos aprendemos un poquito >>mas de seguridad que es tan importante. >>Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un >>informe claro y Tecnico de lo sucedido aqui. > >>Atentamente >>Nelson Lopez. > > > > > -- > Ricardo A.Frydman > Consultor en Tecnología Open Source > Administrador de Sistemas > http://www.eureka-linux.com.ar > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqdbjkw12RhFuGy4RAuGfAJ9r5oFrNPjs2wVtR//uN18u9+dg3ACcC0Je HVevjeNkW7qoF7ZH8r7b7pM= =DC9G -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]