RE: [GLO] SERVIDOR HACKEADO
Eso mismo te iba a decir, solo corre los servicios necesarios y asegurate de
que estén parchados con las ultimas versiones, otra cosa, no se si puedas
sacar en los logs por donde se te metieron para asegurarte mas que nada que
no vuelvan a tratar entrar por ahí
Saludos!
-Mensaje original-
De: artz...@gmail.com [mailto:artz...@gmail.com] En nombre de Artz Neo
Enviado el: domingo, 29 de agosto de 2010 11:27 p.m.
Para: glo@glo.org.mx; allan_ba...@yahoo.com
Asunto: Re: [GLO] SERVIDOR HACKEADO
restaura el sistema... usa llaves en el ssh. banea despues de X intentos de
logeo fallido. solo usa los puertos necesarios y no uses servicios que no
necesites. y pues ni modo =S
El 29 de agosto de 2010 22:53, escribió:
> Ojala que tengas un respaldo comprobado y probado antes de que este hecho
> haya ocurrido.
> Lo primero que debes realizar es formatear el servidor desde cero y antes
> de volverlo a ponerle el cable asegurate que hayas parchado el sistema
> operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc.
> Finalmente pon todos los parches y la ultima versión de Apache. Y tambien
> considera restringir con tu ISP la direccion o direcciones de manera que
no
> te vuelvan a atacar.
> Enviado desde mi oficina móvil BlackBerry® de Telcel
>
> -Original Message-
> From: Miguel Cardenas
> Date: Sun, 29 Aug 2010 19:27:44
> To: Linux GLO
> Reply-To: glo@glo.org.mx
> Subject: [GLO] SERVIDOR HACKEADO
> Hola
>
> Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que
> le
> hayan hecho pero modificaron el apache solo Dios sabe con que proposito y
> que
> nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos
> tmp.jpg
> tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache...
>
> Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi
> haber
> guardado porque era para ganar el root pero estaba tan emp...nojado que
> borre
> todo y de inmediato cambie los passwords de todos mis usuarios.
>
> Creo que es un servidor IRC de warez o una mamada asi porque todos los
> tmp.jpg
> son archivos en perl con contenido de nicknames canales etc. Ahorita estoy
> revisando con mas calma y checando que puertos hay abiertos...
>
> Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que
le
> metieron sin tener que resetear a instalacion default? tengo como 20
> dominios
> con subdominios y correos y aplicaciones que he instalado manualmente y me
> da
> concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que
> hacerlo
> de nuevo nimodo...
>
> Saludos y espero sugerencias y comentarios
>
>
>
>
--
(\(\
(=';')
C((")(")
3311 08 1440
TE 1|\|V1+0 4 \/3R |\/|1 BLO9
http://artzneo.blogspot.com/
RE: [GLO] SERVIDOR HACKEADO
Dado que los archivos inusuales que encontro pertenecen al usuario de
apache lo mas seguro es que el hoyo fue una vulnerabilidad en el software
que ejecuta apache: Probablemente un script PHP (O CGI, si los usas) de la
aplicacion de alguno de tus usuarios / dominios que estas alojando.
Si se hubiera crackeado al apache mismo entonces los archivos seguramente
pertenecerian a root.
Hay que tener cuidado no solo con el software del sistema, sino con el
software que suben tus usuarios. Y usar todas las caracteristicas de
seguridad disponibles en PHP (Por ejemplo) para minimizar el da~o que
puede hacer alguien que encuentre un hoyo en los scripts de algun usuario.
On Mon, 30 Aug 2010, Ricardo Blanco wrote:
Eso mismo te iba a decir, solo corre los servicios necesarios y asegurate de
que estén parchados con las ultimas versiones, otra cosa, no se si puedas
sacar en los logs por donde se te metieron para asegurarte mas que nada que
no vuelvan a tratar entrar por ahí
Saludos!
-Mensaje original-
De: artz...@gmail.com [mailto:artz...@gmail.com] En nombre de Artz Neo
Enviado el: domingo, 29 de agosto de 2010 11:27 p.m.
Para: glo@glo.org.mx; allan_ba...@yahoo.com
Asunto: Re: [GLO] SERVIDOR HACKEADO
restaura el sistema... usa llaves en el ssh. banea despues de X intentos de
logeo fallido. solo usa los puertos necesarios y no uses servicios que no
necesites. y pues ni modo =S
El 29 de agosto de 2010 22:53, escribió:
Ojala que tengas un respaldo comprobado y probado antes de que este hecho
haya ocurrido.
Lo primero que debes realizar es formatear el servidor desde cero y antes
de volverlo a ponerle el cable asegurate que hayas parchado el sistema
operativo, que cierres TODOS los servicios como telnet,ftp, tftp, etc.
Finalmente pon todos los parches y la ultima versión de Apache. Y tambien
considera restringir con tu ISP la direccion o direcciones de manera que
no
te vuelvan a atacar.
Enviado desde mi oficina móvil BlackBerry® de Telcel
-Original Message-
From: Miguel Cardenas
Date: Sun, 29 Aug 2010 19:27:44
To: Linux GLO
Reply-To: glo@glo.org.mx
Subject: [GLO] SERVIDOR HACKEADO
Hola
Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que
le
hayan hecho pero modificaron el apache solo Dios sabe con que proposito y
que
nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos
tmp.jpg
tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache...
Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi
haber
guardado porque era para ganar el root pero estaba tan emp...nojado que
borre
todo y de inmediato cambie los passwords de todos mis usuarios.
Creo que es un servidor IRC de warez o una mamada asi porque todos los
tmp.jpg
son archivos en perl con contenido de nicknames canales etc. Ahorita estoy
revisando con mas calma y checando que puertos hay abiertos...
Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que
le
metieron sin tener que resetear a instalacion default? tengo como 20
dominios
con subdominios y correos y aplicaciones que he instalado manualmente y me
da
concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que
hacerlo
de nuevo nimodo...
Saludos y espero sugerencias y comentarios
--
(\(\
(=';')
C((")(")
3311 08 1440
TE 1|\|V1+0 4 \/3R |\/|1 BLO9
http://artzneo.blogspot.com/
!DSPAM:4c7bba1b151761725924308!
Re: [GLO] SERVIDOR HACKEADO
Que tal Miguel,
Voy a apoyar algunas sugerencias que ya te han hecho y aportar algunas nuevas.
* Lo ideal es que reinstales el servidor. Yo no confiaría en un
servidor que ha sido comprometido.
* Usa las versiones de software sugeridas por la distribución. En
distribuciones "empresariales" no por ver una versión que no es la
última estable quiere decir que tenga las vulnerabilidades de dicha
version, por ejemplo la última versión disponible de apache httpd en
Red Hat/CentOS 5 es 2.2.3 pero no es un versión "vanilla", tiene
muchas modificaciones, entre ellas parches de seguridad.
* Solo instala y corre los servicios necesarios.
Verifica que servicios inician por defecto y deshabilita aquellos
que no necesitas: chkconfig --list | grep :on
Reinicia tu servidor e inmediatamente después de que esté arriba
verifica que puertos están escuchando e identifica los procesos que
los abrieron: netstat -ltpnu
* Para el caso específico de apache httpd, crea una partición
exclusiva para almacenar el contenido y específica la opción noexec.
Además, suponiendo que el "DocumentRoot" lo tengas en /var/www/html y
que apache httpd se ejecute como apache:apache, cambia los permisos de
la siguiente forma: chown -R apache:apache /var/www/html ; find
/var/www/html -type d -exec chmod 2550 {} \; ; find /var/www -type f
-exec chmod 440 {} \;
Identifica que directorios y archivos necesitan permisos de escritura
por apache para que tus aplicaciones funcionen y agregales 'w'.
(Estoy seguro que encontraras una forma eficiente de agregar y/o
actualizar el contenido a pesar de que los directorios tienen permisos
de solo lectura :P).
Puedes aplicar el mismo principio para cualquier otro DocumentRoot de
tus dominios virtuales.
* Deshabilita http si no lo usas (o viceversa, deshabilita https si no lo usas).
* Usa https donde tengas que pedirle información al usuario
(formularios). OBLIGATORIO si son contraseñas o información delicada.
* Instala un HIDS, por ejemplo AIDE. Para que si vuelve a pasar al
menos sepas exactamente que fue lo que se modificó o agregó.
* Habilita SELinux (puede ser MUY complicado si no tienes experiencia
o muchas aplicaciones para las que no están creadas las políticas
necearias). Puedes empezar a hacer tus pruebas en modo "permisivo" sin
afectar el funcionamiento de tu servidor y "forzarlo" cuando estes
listo.
Espero te sirva.
Saludos
--
Rodolfo
2010/8/29 Miguel Cardenas :
> Hola
>
> Resulta que un hijo de su P* M* hackeo mi servidor dedicado, ignoro lo que le
> hayan hecho pero modificaron el apache solo Dios sabe con que proposito y que
> nuevas funcionalidades... el hecho es que en /tmp me aparecen archivos tmp.jpg
> tmp.jpg.1 tmp.jpg.2 ... etc cuyo owner es el apache...
>
> Asi mismo me encontre un exploit compilado en /tmp un tal vm.c que debi haber
> guardado porque era para ganar el root pero estaba tan emp...nojado que borre
> todo y de inmediato cambie los passwords de todos mis usuarios.
>
> Creo que es un servidor IRC de warez o una mamada asi porque todos los tmp.jpg
> son archivos en perl con contenido de nicknames canales etc. Ahorita estoy
> revisando con mas calma y checando que puertos hay abiertos...
>
> Alguna sugerencia de como defecar (echar para afuera) toda la m*erda que le
> metieron sin tener que resetear a instalacion default? tengo como 20 dominios
> con subdominios y correos y aplicaciones que he instalado manualmente y me da
> concha reinstalar y comenzar todo de cero... Y si no pues ya tendre que
> hacerlo
> de nuevo nimodo...
>
> Saludos y espero sugerencias y comentarios
>
>
>
>
Re: [GLO] SERVIDOR HACKEADO
Hola Pues creo que si sera la mejor opcion restaurar puesto que no se que areas del sistema hayan modificado o si haya un backdoor abierto, tardare mas en averiguar que cosas estan alteradas y corregirlas, aparte de que correria el riesgo de no encontrar todo y dejarlo vulnerable... afortunadamente todos los portales y servicios son mios, pero como sea el trabajo de regenerar bases de datos, buzones, subdominios, instalar aplicaciones que meti a mano :( En fin saludos y gracias por sus comentarios
