-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nelson wrote: > El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió: > >>Hola. >> >>Bueno, primero que todo mi sentido pesame por tu servidor >>espero que renasca de las cenizas y sea mejor que antes :) >> >>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio >>en tu servidor. >> >>el atacante lo primero que realizo fue un scaneo de puertos >>desde alguna maquina remota que tal vez ya estaba comprometida >>o que tal vez era su maquina real o un proxy... no sabemos >>miro los puertos >> >>nmap -sS -sV -O -v -P0 tuip >> >>con esto consiguio pasarte por encima de tu firewall si lo tenias y >>obtener >>una lista de los puertos abiertos de tu servidor junto con >>las versiones de los demonios que ellos corrian. >> >>ya teniendo esto y observando que tenias el ftp y sshd abiertos >>la tarea que le sigue es buscar en la pagina en internet o en google >>buscando correos electronicos por ejemplo [EMAIL PROTECTED] >>...bueno, teniendo estas cuentas y siendo obtimistas de que >>en tu servidor creaste usuarios reales en el sistema y no >>en una base de datos y que a ellos le colocaste en la shell /bin/bash >>en vez de de /bin/false... el atacante inicia en la busqueda de un >>exploit >>para tus demonios, si no lo encuentra entonces iniciara un >>ataque de diccionario sobre tus servicios, creo que inicio por >>el sshd... suponiendo que despues de varias horas de intentar >>obtuvo una entrada a tu sistema por medio de un >>usuariohttp://www.google.com.co/ >>con una muy mala contraseña... luego el atacante ya tiene una shell >>e inicia en la busqueda de errores internos en busqueda de una >>escalada de privilegios, puede buscar programas con SUID o detenerse >>y observar en securityfocus.com cientos de errores de seguridad >>que puede contener tu sistema. >>Suponiendo de despues de varias horas escaneando tu sistema por dentro >>y teniendo un exploit local consiguio acceso al root... despues de >>este punto >>tu maquina ya esta perdida y no hace falta imaginarnos que podria >>hacer >>con este poder!!! >> >>El script en perl que nombras es muy sencillo. >>el recive dos parametros que son los siguiente el nombre del host y su >>ip >>envia una peticion a dicho puerto de el nombre de la maquina y una >>shell >>claro que este script no funciona para nada si antes inicialisaste un >>puerto >>con shell... me explico: esto se haria por ejemplo con netcat, este >>permite >>crear un demonio que escuche determonado puerto y que cuando el se >>conecte >>le sirva un determinado archivo, ejemplo /bin/sh >> >>entonces el atacante ejecuta el guion en perl para conectarse a otra >>maquina objetivo >>conclusion: utiliso tu maquina como puente para atacar otras redes. >>claro que podria suponer que es muy novato o un scriptkid ya que >>destruyo >>tu sistema... yo permaneceria con una cuenta privilegiada en tu >>sistema :) >> >>Bueno, creo que eso es todo por el momento... si seme ocurre algomas >>estare escribiendo >> >>Saludos. > > > > > ufffff.... > pero si casi parece una conspiracion contra el presidente :o !!!.. Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando reconstruir lo sucedido".....puede no ser lo que paso (en realidad no creo que haya sido asi XD)
> esos parametros de nmap nos los conocia y me parecieron bastante > interesantes y asombrosos.. mas bien. preocupante diria yo.. Depende como configures tu firewall... > que hacer ante un caso como este ?... de que forma se podria prevenir > este tipo de scaneos en un sistema ?... Configurando adecuadamente tu firewall para prevenirte contra ese tipo de escaneos + otras herramientas de deteccion, aunque dudo que lo necesites, si me lo preguntas... > que preocupante poder ver este tipo de accion. y ver que no basta con > las posibles "soluciones de seguridad" que se implementen siempre habra > algo que logre saltar un sistema =/... Bueno, es cuestion de reducir posibilidades...como te conteste recien en otro correo, creo que dejaste las cosas demasiado al azar por decirlo de algun modo... > salu2 y en este mismo momento me dispongo a reeleer el manual de > iptables para mejorar el firewall de aquella empresa... Puedes leer tambien: http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html > consejos ?.. Ahi fue uno... Otro: olvida la paranoia, que te sirva para el futuro.... > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd 9M9W04rQ/QSkeAkNjw1uvPA= =vKmw -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]