RE: [GLO] SERVIDOR HACKEADO
Eso mismo te iba a decir, solo corre los servicios necesarios y asegurate de que estén parchados con las ultimas versiones, otra cosa, no se si puedas sacar en los logs por donde se te metieron para asegurarte mas que nada que no vuelvan a tratar entrar por ahí Saludos! -Mensaje original- De: artz...@gmail.com [mailto:artz...@gmail.com] En nombre de Artz Neo Enviado el: domingo, 29 de agosto de 2010 11:27 p.m. Para: glo@glo.org.mx; allan_ba...@yahoo.com Asunto: Re: [GLO] SERVIDOR HACKEADO restaura el sistema... usa llaves en el ssh. banea despues de X intentos de logeo fallido. solo usa los puertos necesarios y no uses servicios que no necesites. y pues ni modo =S El 29 de agosto de 2010 22:53, escribió: > Ojala que tengas un respaldo comprobado y probado antes de que este hecho > haya ocurrido. > Lo primero que debes realizar es formatear el servidor desde cero y antes > de volverlo a ponerle el cable asegurate que hayas parchado el sistema > operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc. > Finalmente pon todos los parches y la ultima versión de Apache. Y tambien > considera restringir con tu ISP la direccion o direcciones de manera que no > te vuelvan a atacar. > Enviado desde mi oficina móvil BlackBerry® de Telcel > > -Original Message- > From: Miguel Cardenas > Date: Sun, 29 Aug 2010 19:27:44 > To: Linux GLO > Reply-To: glo@glo.org.mx > Subject: [GLO] SERVIDOR HACKEADO > Hola > > Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que > le > hayan hecho pero modificaron el apache solo Dios sabe con que proposito y > que > nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos > tmp.jpg > tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache... > > Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi > haber > guardado porque era para ganar el root pero estaba tan emp...nojado que > borre > todo y de inmediato cambie los passwords de todos mis usuarios. > > Creo que es un servidor IRC de warez o una mamada asi porque todos los > tmp.jpg > son archivos en perl con contenido de nicknames canales etc. Ahorita estoy > revisando con mas calma y checando que puertos hay abiertos... > > Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le > metieron sin tener que resetear a instalacion default? tengo como 20 > dominios > con subdominios y correos y aplicaciones que he instalado manualmente y me > da > concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que > hacerlo > de nuevo nimodo... > > Saludos y espero sugerencias y comentarios > > > > -- (\(\ (=';') C((")(") 3311 08 1440 TE 1|\|V1+0 4 \/3R |\/|1 BLO9 http://artzneo.blogspot.com/
RE: [GLO] SERVIDOR HACKEADO
Dado que los archivos inusuales que encontro pertenecen al usuario de apache lo mas seguro es que el hoyo fue una vulnerabilidad en el software que ejecuta apache: Probablemente un script PHP (O CGI, si los usas) de la aplicacion de alguno de tus usuarios / dominios que estas alojando. Si se hubiera crackeado al apache mismo entonces los archivos seguramente pertenecerian a root. Hay que tener cuidado no solo con el software del sistema, sino con el software que suben tus usuarios. Y usar todas las caracteristicas de seguridad disponibles en PHP (Por ejemplo) para minimizar el da~o que puede hacer alguien que encuentre un hoyo en los scripts de algun usuario. On Mon, 30 Aug 2010, Ricardo Blanco wrote: Eso mismo te iba a decir, solo corre los servicios necesarios y asegurate de que estén parchados con las ultimas versiones, otra cosa, no se si puedas sacar en los logs por donde se te metieron para asegurarte mas que nada que no vuelvan a tratar entrar por ahí Saludos! -Mensaje original- De: artz...@gmail.com [mailto:artz...@gmail.com] En nombre de Artz Neo Enviado el: domingo, 29 de agosto de 2010 11:27 p.m. Para: glo@glo.org.mx; allan_ba...@yahoo.com Asunto: Re: [GLO] SERVIDOR HACKEADO restaura el sistema... usa llaves en el ssh. banea despues de X intentos de logeo fallido. solo usa los puertos necesarios y no uses servicios que no necesites. y pues ni modo =S El 29 de agosto de 2010 22:53, escribió: Ojala que tengas un respaldo comprobado y probado antes de que este hecho haya ocurrido. Lo primero que debes realizar es formatear el servidor desde cero y antes de volverlo a ponerle el cable asegurate que hayas parchado el sistema operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc. Finalmente pon todos los parches y la ultima versión de Apache. Y tambien considera restringir con tu ISP la direccion o direcciones de manera que no te vuelvan a atacar. Enviado desde mi oficina móvil BlackBerry® de Telcel -Original Message- From: Miguel Cardenas Date: Sun, 29 Aug 2010 19:27:44 To: Linux GLO Reply-To: glo@glo.org.mx Subject: [GLO] SERVIDOR HACKEADO Hola Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que le hayan hecho pero modificaron el apache solo Dios sabe con que proposito y que nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos tmp.jpg tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache... Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi haber guardado porque era para ganar el root pero estaba tan emp...nojado que borre todo y de inmediato cambie los passwords de todos mis usuarios. Creo que es un servidor IRC de warez o una mamada asi porque todos los tmp.jpg son archivos en perl con contenido de nicknames canales etc. Ahorita estoy revisando con mas calma y checando que puertos hay abiertos... Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le metieron sin tener que resetear a instalacion default? tengo como 20 dominios con subdominios y correos y aplicaciones que he instalado manualmente y me da concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que hacerlo de nuevo nimodo... Saludos y espero sugerencias y comentarios -- (\(\ (=';') C((")(") 3311 08 1440 TE 1|\|V1+0 4 \/3R |\/|1 BLO9 http://artzneo.blogspot.com/ !DSPAM:4c7bba1b151761725924308!
Re: [GLO] SERVIDOR HACKEADO
Que tal Miguel, Voy a apoyar algunas sugerencias que ya te han hecho y aportar algunas nuevas. * Lo ideal es que reinstales el servidor. Yo no confiaría en un servidor que ha sido comprometido. * Usa las versiones de software sugeridas por la distribución. En distribuciones "empresariales" no por ver una versión que no es la última estable quiere decir que tenga las vulnerabilidades de dicha version, por ejemplo la última versión disponible de apache httpd en Red Hat/CentOS 5 es 2.2.3 pero no es un versión "vanilla", tiene muchas modificaciones, entre ellas parches de seguridad. * Solo instala y corre los servicios necesarios. Verifica que servicios inician por defecto y deshabilita aquellos que no necesitas: chkconfig --list | grep :on Reinicia tu servidor e inmediatamente después de que esté arriba verifica que puertos están escuchando e identifica los procesos que los abrieron: netstat -ltpnu * Para el caso específico de apache httpd, crea una partición exclusiva para almacenar el contenido y específica la opción noexec. Además, suponiendo que el "DocumentRoot" lo tengas en /var/www/html y que apache httpd se ejecute como apache:apache, cambia los permisos de la siguiente forma: chown -R apache:apache /var/www/html ; find /var/www/html -type d -exec chmod 2550 {} \; ; find /var/www -type f -exec chmod 440 {} \; Identifica que directorios y archivos necesitan permisos de escritura por apache para que tus aplicaciones funcionen y agregales 'w'. (Estoy seguro que encontraras una forma eficiente de agregar y/o actualizar el contenido a pesar de que los directorios tienen permisos de solo lectura :P). Puedes aplicar el mismo principio para cualquier otro DocumentRoot de tus dominios virtuales. * Deshabilita http si no lo usas (o viceversa, deshabilita https si no lo usas). * Usa https donde tengas que pedirle información al usuario (formularios). OBLIGATORIO si son contraseñas o información delicada. * Instala un HIDS, por ejemplo AIDE. Para que si vuelve a pasar al menos sepas exactamente que fue lo que se modificó o agregó. * Habilita SELinux (puede ser MUY complicado si no tienes experiencia o muchas aplicaciones para las que no están creadas las políticas necearias). Puedes empezar a hacer tus pruebas en modo "permisivo" sin afectar el funcionamiento de tu servidor y "forzarlo" cuando estes listo. Espero te sirva. Saludos -- Rodolfo 2010/8/29 Miguel Cardenas : > Hola > > Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que le > hayan hecho pero modificaron el apache solo Dios sabe con que proposito y que > nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos tmp.jpg > tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache... > > Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi haber > guardado porque era para ganar el root pero estaba tan emp...nojado que borre > todo y de inmediato cambie los passwords de todos mis usuarios. > > Creo que es un servidor IRC de warez o una mamada asi porque todos los tmp.jpg > son archivos en perl con contenido de nicknames canales etc. Ahorita estoy > revisando con mas calma y checando que puertos hay abiertos... > > Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le > metieron sin tener que resetear a instalacion default? tengo como 20 dominios > con subdominios y correos y aplicaciones que he instalado manualmente y me da > concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que > hacerlo > de nuevo nimodo... > > Saludos y espero sugerencias y comentarios > > > >
Re: [GLO] SERVIDOR HACKEADO
Hola Pues creo que si sera la mejor opcion restaurar puesto que no se que areas del sistema hayan modificado o si haya un backdoor abierto, tardare mas en averiguar que cosas estan alteradas y corregirlas, aparte de que correria el riesgo de no encontrar todo y dejarlo vulnerable... afortunadamente todos los portales y servicios son mios, pero como sea el trabajo de regenerar bases de datos, buzones, subdominios, instalar aplicaciones que meti a mano :( En fin saludos y gracias por sus comentarios