Re: Apache desbordamiento mem
El mar, 21-05-2013 a las 17:00 -0400, Alvaro Herrera escribió: Alvaro Herrera escribió: Resultó que fui a parar a este reporte por casualidad: http://secondlookforensics.com/linux-malware-detection/ y me acordé de tu caso. Mil perdones, me equivoqué de URL. El artículo en cuestión es este: http://lwn.net/SubscriberLink/550608/2d70c31cf8053453/ (El cómo llegaron tus lombrices a contagiarme a través de la fibra óptica es algo que aún no he aclarado) Alvaro, como siempre un gran aporte... gracias por compartirlo. Interesante el mecanismo de funcionamiento (y control) del malware... Ahora ESET (y otros) venderán su suit de detección de malwares para Linux una vez finalizada la disección (lo que no es malo cuando NO HAY administradores competentes). Mientras no se descubran las vulnerabilidades utilizadas para entrar al servidor, este malware se seguirá propagando :) saludos. -- Marcelo Espinosa Alliende Jefe Depto de Servicios Computacionales Dirección de Informática Universidad del Bío-Bio fono: +56 (41) 311-1531, http://marcelo.ubb.cl
Re: Apache desbordamiento mem
2013/5/21 Alvaro Herrera alvhe...@alvh.no-ip.org: Victor Hugo dos Santos escribió: Alvaro, deja el peyote.. te esta haciendo mal !!! :D ¿cómo ignorar un consejo tan sabio, sobre todo viniendo de un personaje tan ilustre? Lo consideraré, pero no lo des por hecho. Y para no salirnos totalmente del tópico, cuenta por favor cómo se llamaba el congreso ese que te gustaba tanto en Argentina de black-hats (o algo así). Hace poco un argentino me comentó que estaba un poco decepcionado porque los congresos allá ya no eran lo que eran, lo cual me sorprendió por el entusiasmo que tenías tú por los congresos a los que ibas allá. Orale, busca por ekoparty o bien entras aca http://www.ekoparty.org/ ano pasado no fue, asi que no tengo feedback !!! pero por el general es muy, muy bueno !!! este ano voy si o si a la Eko .. a igual que la defconf en las vegas. uno otro que congreso que va de la mano con el tema es H2H (hacker 2 hacker).. pero es en brasil y muchas de las charlas son en portugues y la traduccion es como la wuea. Nota: cuando aprenderan estes cochinos brasilenos a hablar bien el espanol ?? DefConf (en Junio) H2H (Agosto, creo) Eko (en Septiembre) salu2 y animate a ir a una. -- -- Victor Hugo dos Santos http://www.vhsantos.net Linux Counter #224399
Re: Apache desbordamiento mem
la ekoparty! JA JA! El 22 de mayo de 2013 10:35, Victor Hugo dos Santos listas@gmail.comescribió: 2013/5/21 Alvaro Herrera alvhe...@alvh.no-ip.org: Victor Hugo dos Santos escribió: Alvaro, deja el peyote.. te esta haciendo mal !!! :D ¿cómo ignorar un consejo tan sabio, sobre todo viniendo de un personaje tan ilustre? Lo consideraré, pero no lo des por hecho. Y para no salirnos totalmente del tópico, cuenta por favor cómo se llamaba el congreso ese que te gustaba tanto en Argentina de black-hats (o algo así). Hace poco un argentino me comentó que estaba un poco decepcionado porque los congresos allá ya no eran lo que eran, lo cual me sorprendió por el entusiasmo que tenías tú por los congresos a los que ibas allá. Orale, busca por ekoparty o bien entras aca http://www.ekoparty.org/ ano pasado no fue, asi que no tengo feedback !!! pero por el general es muy, muy bueno !!! este ano voy si o si a la Eko .. a igual que la defconf en las vegas. uno otro que congreso que va de la mano con el tema es H2H (hacker 2 hacker).. pero es en brasil y muchas de las charlas son en portugues y la traduccion es como la wuea. Nota: cuando aprenderan estes cochinos brasilenos a hablar bien el espanol ?? DefConf (en Junio) H2H (Agosto, creo) Eko (en Septiembre) salu2 y animate a ir a una. -- -- Victor Hugo dos Santos http://www.vhsantos.net Linux Counter #224399 -- Carlos Francisco Tirado Elgueta Google Apps for Business Partner Chile http://www.chilemedios.cl
Re: Apache desbordamiento mem
Juan Carlos Rojas Jordan escribió: Logre revivir a mi apachitoaun tengo sueño. Bueno hice varias cosas se las comento mas tarde anda medio cojo mi apachito pero me subio Que alegría. ¿Te enteraste que hay ataques activos contra Apache y otros servidores web? Me imagino que no seguiste ninguna de mis sugerencias, no instalaste todo en un servidor aparte, y no aislaste el servidor afectado para evitar futuros contagios y abusos (una actitud tan irresponsable que sólo podría ser producto de una mente totalmente desquiciada por el estrés de la vida actual, o quizás de un cerebro carcomido por alguna lombriz particularmente maligna, pero dejemos eso de lado por el momento). Resultó que fui a parar a este reporte por casualidad: http://secondlookforensics.com/linux-malware-detection/ y me acordé de tu caso. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Llegará una época en la que una investigación diligente y prolongada sacará a la luz cosas que hoy están ocultas (Séneca, siglo I)
Re: Apache desbordamiento mem
Alvaro Herrera escribió: Resultó que fui a parar a este reporte por casualidad: http://secondlookforensics.com/linux-malware-detection/ y me acordé de tu caso. Mil perdones, me equivoqué de URL. El artículo en cuestión es este: http://lwn.net/SubscriberLink/550608/2d70c31cf8053453/ (El cómo llegaron tus lombrices a contagiarme a través de la fibra óptica es algo que aún no he aclarado) -- Alvaro Herrera
Re: Apache desbordamiento mem
2013/5/21 Alvaro Herrera alvhe...@alvh.no-ip.org: Alvaro Herrera escribió: Resultó que fui a parar a este reporte por casualidad: http://secondlookforensics.com/linux-malware-detection/ y me acordé de tu caso. Mil perdones, me equivoqué de URL. El artículo en cuestión es este: http://lwn.net/SubscriberLink/550608/2d70c31cf8053453/ (El cómo llegaron tus lombrices a contagiarme a través de la fibra óptica es algo que aún no he aclarado) Alvaro, deja el peyote.. te esta haciendo mal !!! :D salu2 -- -- Victor Hugo dos Santos http://www.vhsantos.net Linux Counter #224399
Re: Apache desbordamiento mem
Victor Hugo dos Santos escribió: Alvaro, deja el peyote.. te esta haciendo mal !!! :D ¿cómo ignorar un consejo tan sabio, sobre todo viniendo de un personaje tan ilustre? Lo consideraré, pero no lo des por hecho. Y para no salirnos totalmente del tópico, cuenta por favor cómo se llamaba el congreso ese que te gustaba tanto en Argentina de black-hats (o algo así). Hace poco un argentino me comentó que estaba un poco decepcionado porque los congresos allá ya no eran lo que eran, lo cual me sorprendió por el entusiasmo que tenías tú por los congresos a los que ibas allá. -- Alvaro Herrerahttp://www.advogato.org/person/alvherre Criptografía: Poderosa técnica algorítmica de codificación que es empleada en la creación de manuales de computadores.
RE: Apache desbordamiento mem
Logre revivir a mi apachitoaun tengo sueño. Bueno hice varias cosas se las comento mas tarde anda medio cojo mi apachito pero me subio Date: Thu, 16 May 2013 20:38:56 -0400 From: r...@gulix.cl To: linux@listas.inf.utfsm.cl Subject: Re: Apache desbordamiento mem El 16/05/13 15:55, Juan Carlos Rojas Jordan escribió: Se oscura la cosa, igual estoy intentando, agregue mas swap tardo un poco pero sigue arrojando 0 swap hay algo que al arrancar apache 2 comienza a consumir toda la memoria y finalmente apache termina por comenzar a patar procesos y no lograr dar servicio . Si tiene alguna otra idea mas que agradecido Tienes activado server-status?? de ser así, has revisado si son múltiples conexiones las que te consumen la memoria, quizás alguna página en específico. Saludos Cordialmente Juan Carlos Date: Thu, 16 May 2013 15:24:54 -0400 Subject: Re: Apache desbordamiento mem From: javier.gonzal...@gmail.com To: linux@listas.inf.utfsm.cl Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y tratas de subir el servicio? y asi ves como se comportanose, digo. El 16 de mayo de 2013 15:20, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/) -- *Atte. Javier González P. * * *
Re: Apache desbordamiento mem
hazle un machitun. 0=) El 17 de mayo de 2013 09:27, Juan Carlos Rojas Jordan jcr...@hotmail.comescribió: Logre revivir a mi apachitoaun tengo sueño. Bueno hice varias cosas se las comento mas tarde anda medio cojo mi apachito pero me subio Date: Thu, 16 May 2013 20:38:56 -0400 From: r...@gulix.cl To: linux@listas.inf.utfsm.cl Subject: Re: Apache desbordamiento mem El 16/05/13 15:55, Juan Carlos Rojas Jordan escribió: Se oscura la cosa, igual estoy intentando, agregue mas swap tardo un poco pero sigue arrojando 0 swap hay algo que al arrancar apache 2 comienza a consumir toda la memoria y finalmente apache termina por comenzar a patar procesos y no lograr dar servicio . Si tiene alguna otra idea mas que agradecido Tienes activado server-status?? de ser así, has revisado si son múltiples conexiones las que te consumen la memoria, quizás alguna página en específico. Saludos Cordialmente Juan Carlos Date: Thu, 16 May 2013 15:24:54 -0400 Subject: Re: Apache desbordamiento mem From: javier.gonzal...@gmail.com To: linux@listas.inf.utfsm.cl Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y tratas de subir el servicio? y asi ves como se comportanose, digo. El 16 de mayo de 2013 15:20, Alvaro Herrera alvhe...@alvh.no-ip.org escribió: Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/) -- *Atte. Javier González P. * * * -- Carlos Francisco Tirado Elgueta Google Apps for Business Partner Chile http://www.chilemedios.cl
Re: Apache desbordamiento mem
No tiene en su arquitectura FW para bloquear? o por ultimo tire una reglita en iptables y listo. pero no mate la maquina por memoria, deberia tener limite de conexiones y consumo de recursos predefinidos, eso es una herejía!! :) suerte El 16 de mayo de 2013 15:04, Juan Carlos Rojas Jordan jcr...@hotmail.comescribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Cordialmente Juan Carlos Rojas versión de apache es: Apache/2.2.16 (Debian) kernel 2.6.32-5-xen-amd64 -- Carlos Francisco Tirado Elgueta Google Apps for Business Partner Chile http://www.chilemedios.cl
Re: Apache desbordamiento mem
Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/)
Re: Apache desbordamiento mem
Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y tratas de subir el servicio? y asi ves como se comportanose, digo. El 16 de mayo de 2013 15:20, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/) -- *Atte. Javier González P. * * *
RE: Apache desbordamiento mem
Se oscura la cosa, igual estoy intentando, agregue mas swap tardo un poco pero sigue arrojando 0 swap hay algo que al arrancar apache 2 comienza a consumir toda la memoria y finalmente apache termina por comenzar a patar procesos y no lograr dar servicio . Si tiene alguna otra idea mas que agradecido Cordialmente Juan Carlos Date: Thu, 16 May 2013 15:24:54 -0400 Subject: Re: Apache desbordamiento mem From: javier.gonzal...@gmail.com To: linux@listas.inf.utfsm.cl Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y tratas de subir el servicio? y asi ves como se comportanose, digo. El 16 de mayo de 2013 15:20, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/) -- *Atte. Javier González P. * * *
Re: Apache desbordamiento mem
El error especifico? Swap libre? (man free) Disco libre? Tambien puede ser que hasta el mismo ejecutable del Apache haya sido alterado. Partir por verificar binarios (no reinstalar!), chkrootkit, rkhunter o similares. Mirar comportamiento raro del kernel, desconectar la maquina de internet por un rato (hacer imagen tambien, por si acaso). Revisar /tmp, /var/tmp y similares. Permisos de esos directorios tambien. Saludos, 2013/5/16 Javier Alejandro javier.gonzal...@gmail.com Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y tratas de subir el servicio? y asi ves como se comportanose, digo. El 16 de mayo de 2013 15:20, Alvaro Herrera alvhe...@alvh.no-ip.org escribió: Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/) -- *Atte. Javier González P. * * * -- Juan C. Inostroza j...@codemonkey.cl *Federal regulations* require me to warn you that this next test chamber... is looking *pretty good*
Re: Apache desbordamiento mem
El 16/05/13 15:55, Juan Carlos Rojas Jordan escribió: Se oscura la cosa, igual estoy intentando, agregue mas swap tardo un poco pero sigue arrojando 0 swap hay algo que al arrancar apache 2 comienza a consumir toda la memoria y finalmente apache termina por comenzar a patar procesos y no lograr dar servicio . Si tiene alguna otra idea mas que agradecido Tienes activado server-status?? de ser así, has revisado si son múltiples conexiones las que te consumen la memoria, quizás alguna página en específico. Saludos Cordialmente Juan Carlos Date: Thu, 16 May 2013 15:24:54 -0400 Subject: Re: Apache desbordamiento mem From: javier.gonzal...@gmail.com To: linux@listas.inf.utfsm.cl Disculpa, y porque no tratas de bootear desde un livecd, haces un chroot y tratas de subir el servicio? y asi ves como se comportanose, digo. El 16 de mayo de 2013 15:20, Alvaro Herrera alvhe...@alvh.no-ip.orgescribió: Juan Carlos Rojas Jordan escribió: Hola listeros no puedo lograr arrancar apache sin que haya un desbordamiento en la memoria. Este servidor es una maquina virtual funcionaba ok hasta la semana pasada, hasta que se cae repentinamente y luego no puedo arrancarlo no logro arrancarlo se cae inmediatamente me sale swap free 0 de acuerdo a lo que he encontrado tengo insuficiente memoria ram pero , podría ser algún tipo de ataque esto coincidió con una conexión que lograron realizar a este servidor no me pregunten de la seguridad ni me critiquen por ahora ok creo que no tengo responsabilidad en eso, la cosa es que la ip es de china. bueno de ahí todo mal no logro arrancar mi apachito. Se trata de una maquina virtual en Xen le asigne as mem pero igual agradeceré alguna esperanza . Deberías considerar muy probable que el atacante haya logrado instalar un módulo de algún tipo en tu sistema. Deberías considerarlo contaminado, no tratar de rescatarlo (excepto para hacer análisis forense, y rescatar únicamente los datos que sean absolutamente indispensables, y sólo con guantes quirúrgicos y pinzas), y levantar una instalación totalmente nueva. -- Alvaro Herrera Valdivia, Chile Geotag: -39,815 -73,257 Small aircraft do not crash frequently ... usually only once! (ponder, http://thedailywtf.com/) -- *Atte. Javier González P. * * * signature.asc Description: OpenPGP digital signature