Re: Ataque... hacking....
Mira Jaume, para saber nomas, por casualidad tenes el PHPBB???, porque hace poco salio un exploit que te permite ejecutar codigo en el servidor, este puede llegar a ser uno de los puntos a examinar. Y como ya te dijo Matias reinstala todo y cambia las contraseñas. Inscribite en listas de correos de exploits y fallas de seguridad. Y por ultimo instala un IDS y mandate los logs cada 10minutos. Es muy importante ya que por lo menos no le das tiempo al instruso a que se de cuenta de esto, casi siempre borran los archivos despues de que infectaron ejecutables e hicieron cambios importantes al sistema. Espero que estos puntos te sirvan de apoyo para que tu equipo sea un poco mas seguro. Nos vemos y suerte con eso! Andrés - Original Message - From: "Manolo Díaz" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Cc: Sent: Tuesday, December 14, 2004 2:09 PM Subject: Re: Ataque... hacking [EMAIL PROTECTED] wrote: Estos dos programas son para sistemas de archivos EXT2 Alguien conoce alguno para EXT3 ? Si no he entendido mal, EXT3 no es más que un EXT2 con algunas extensiones extras. De hecho, creo que se pude convertir un sistema de ficheros EXT2 a EXT3 sin tener que formatear y perder datos. ¿Has leído en algun documento que no sirven para ETX3?. Si estoy equivocado que alguien me corrija antes de meter la pata. Matias On Tue, 14 Dec 2004 02:38:43 +0100, Rubén Mediano <[EMAIL PROTECTED]> wrote: Has intentado recuperar esos archivos de log eliminados ? http://www.praeclarus.demon.co.uk/tech/e2-undel/howto.txt http://recover.sourceforge.net/linux/recover/ Avisanos si averiguas algo !! Saludos. -Mensaje original- De: Jaume [mailto:[EMAIL PROTECTED] Enviado el: lunes, 13 de diciembre de 2004 17:06 Para: debian-user-spanish@lists.debian.org Asunto: Ataque... hacking Hola a todos. Tengo un servidor de web,correo, etc.. con varias webs alojadas. Hoy por lam añana me ha entrado un haquer: WhackerZ y me ha indeado todas los index.php con una página suya, reivindicativa, etc... Ya he restaurado el servidor (gracias a las copias..:) ), pero me gustaria saber cómo ha podido entrar. Tengo una debian woody actualizada al máximo y con el shorewall haciendo de firewall y capando todos los puertos excepto : apache - 80, postfix - 25, courier-pop - 110, ssh - 22, mysql - 3306 proftpd - 21 El kernel es el 2.4.21. El muy k... me ha borrado todo el directorio /var/log también. Hay alguna manera de saber cómo ha podido entrar ? Gracias de antemano. Jaume. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Ataque... hacking....
[EMAIL PROTECTED] wrote: Estos dos programas son para sistemas de archivos EXT2 Alguien conoce alguno para EXT3 ? Si no he entendido mal, EXT3 no es más que un EXT2 con algunas extensiones extras. De hecho, creo que se pude convertir un sistema de ficheros EXT2 a EXT3 sin tener que formatear y perder datos. ¿Has leído en algun documento que no sirven para ETX3?. Si estoy equivocado que alguien me corrija antes de meter la pata. Matias On Tue, 14 Dec 2004 02:38:43 +0100, Rubén Mediano <[EMAIL PROTECTED]> wrote: Has intentado recuperar esos archivos de log eliminados ? http://www.praeclarus.demon.co.uk/tech/e2-undel/howto.txt http://recover.sourceforge.net/linux/recover/ Avisanos si averiguas algo !! Saludos. -Mensaje original- De: Jaume [mailto:[EMAIL PROTECTED] Enviado el: lunes, 13 de diciembre de 2004 17:06 Para: debian-user-spanish@lists.debian.org Asunto: Ataque... hacking Hola a todos. Tengo un servidor de web,correo, etc.. con varias webs alojadas. Hoy por lam añana me ha entrado un haquer: WhackerZ y me ha indeado todas los index.php con una página suya, reivindicativa, etc... Ya he restaurado el servidor (gracias a las copias..:) ), pero me gustaria saber cómo ha podido entrar. Tengo una debian woody actualizada al máximo y con el shorewall haciendo de firewall y capando todos los puertos excepto : apache - 80, postfix - 25, courier-pop - 110, ssh - 22, mysql - 3306 proftpd - 21 El kernel es el 2.4.21. El muy k... me ha borrado todo el directorio /var/log también. Hay alguna manera de saber cómo ha podido entrar ? Gracias de antemano. Jaume. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio.
Re: Ataque... hacking....
Como dice Matías yo me decanto por algún fallo de aplicación. Alguna caspez tipo tal.php?file=pepe.pdf sin comprobar que no te puedan hacer una escalada de directorios, etc, etc. Puedes mirar si te han hecho algo más que zumbarse la web pasando algún programa como el chkrootkit, aunque como bien dice Matías yo reinstalaría toda la máquina también. Ampliando un poco lo que te decía él sobre firmar ficheros prueba tripwire o aide, que viene a ser parecido pero en libre. De paso actualiza el kernel que si no recuerdo mal 2.4.21 seguía teniendo el agujero del ptrace o similar. Si no la vas a reinstalar (que repito que yo no lo haría) comprueba ficheros setuidados, etc. Eso sí, si vas a usar find para hacer algún tipo de análisis forense ten en cuenta montar la partición como sólo lectura o vas a cambiar el timestamp de todos los ficheros que busques con find y no queremos eso, no? ;) On Mon, Dec 13, 2004 at 02:07:14PM -0300, Matias 'nnss' Palomec wrote: >El Mon, 13 Dec 2004 17:05:45 +0100 >Jaume <[EMAIL PROTECTED]> escribió: > >> Hola a todos. >> Tengo un servidor de web,correo, etc.. con varias webs alojadas. >> Hoy por lam añana me ha entrado un haquer: WhackerZ y me ha > >te ha entrado un craker > >> indeado todas los index.php con una página suya, reivindicativa, > >es algo bastante común estos días > >> etc... Ya he restaurado el servidor (gracias a las copias..:) ), > >Felicitaciones por los backups!!! > >> pero me gustaria saber cómo ha podido entrar. Tengo una debian woody >> actualizada al máximo y con el shorewall haciendo de firewall y > >dirás IpTables haciendo de firewall > >> capando todos los puertos excepto : >> >> apache - 80, >> postfix - 25, >> courier-pop - 110, >> ssh - 22, >> mysql - 3306 >> proftpd - 21 > >No entiendo porque dejar en mysql al exterior, pero eso no es el punto >real. > >El firewall puede evitar algunas cosas, pero el tráfico "correcto" al >servidor web seguro que lo dejará pasar, por más que sea un exploit >para el webserver. > >Yo me inclinaría (por cuestiones que estuve viendo hace poco) por el >webserver, y más si tienes WebDav o alguna galería de fotos hecha en >PHP (habían varias que no son muy viejas y tienen demasiados fallos >graves de seguridad). Por lo cual para estar más tranquilo yo que tu >iría viendo de auditar un poco el código PHP que haya, buscar >vulnerabilidades ya anunciadas de los programas que tengas instalados >(los programas que se relacionen directamente con el webserver). > >En una menor medida, también fíjate si tienes algún usuario que tenga >una contraseña de diccionario. En los últimos meses (casi un año) hay >dando vueltas por internet un brutessh. A mi me están dando murra todo >el día (hace varias semanas), pero como no tienen ningún usuario por >ahora no pueden hacer mucho (por ahora) > >Otra cosa que pudieron hacer es entrarte por alguna aplicación web mal >hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que >sea en tu sistema) y así conseguir las contraseñas con algún programa. > >> >> El muy k... me ha borrado todo el directorio /var/log también. > >Es algo usual, yo para eso hago que cada 15 minutos se manden por mail >los últimos logs a otra máquina, no es lo mejor, pero al menos me >quedo con bastante información (esto lo hace el logckech). > >> >> Hay alguna manera de saber cómo ha podido entrar ? > >Más allá de lo que te mencioné antes, esa máquina reinstalala TODA >cuanto antes, pueden haber varios programas "infectados" con algún >troyanon, con lo cual volverán a entrar como si estuvieran en su casa. >Para verificar esto para la próxima vez puedes fijarte que hay varios >"comprobadores de integridad" de los archivos. No recuerdo ahora el >nombre, pero sacaba una comprobación de todos los ejecutables del base >y luego eso lo podías grabar en un CD o lo que sea, luego cuando >querías comprobar todo ponías el CD y corrias la comprobación, estoy >casi seguro que esto lo vi en Debian hace un tiempo. > >Otra medida preventiva interesante podría ser el instalar y configurar >bien un IDS como snort, no hace milagros, pero ayuda bastante contra >los ataques a servicios "permitidos". > > >-- >Atentamente, yo >Y sin fumar desde (casi) el '1089515700' >http://www.nnss.d7.be >Let one walk alone, commit no sin, >with few wishes, like an elephant in the forest > > >-- >To UNSUBSCRIBE, email to [EMAIL PROTECTED] >with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Un saludo Alberto Corsín Lafuente :: IP Soluciones c/Francisco Sancha 4 :: Madrid 28034 Tlf: +34 917283950 :: Fax: +34 917291414 [EMAIL PROTECTED] :: http://www.ipsoluciones.com
Re: Ataque... hacking....
Estos dos programas son para sistemas de archivos EXT2 Alguien conoce alguno para EXT3 ? Matias On Tue, 14 Dec 2004 02:38:43 +0100, Rubén Mediano <[EMAIL PROTECTED]> wrote: > Has intentado recuperar esos archivos de log eliminados ? > > http://www.praeclarus.demon.co.uk/tech/e2-undel/howto.txt > > http://recover.sourceforge.net/linux/recover/ > > Avisanos si averiguas algo !! > > Saludos. > > -Mensaje original- > De: Jaume [mailto:[EMAIL PROTECTED] > Enviado el: lunes, 13 de diciembre de 2004 17:06 > Para: debian-user-spanish@lists.debian.org > Asunto: Ataque... hacking > > Hola a todos. > Tengo un servidor de web,correo, etc.. con varias webs alojadas. > Hoy por lam añana me ha entrado un haquer: WhackerZ y me ha indeado > > todas los index.php con una página suya, reivindicativa, etc... > Ya he restaurado el servidor (gracias a las copias..:) ), pero me > gustaria saber cómo ha podido entrar. Tengo una debian woody actualizada > > al máximo y con el shorewall haciendo de firewall y capando todos los > puertos excepto : > > apache - 80, > postfix - 25, > courier-pop - 110, > ssh - 22, > mysql - 3306 > proftpd - 21 > > El kernel es el 2.4.21. > > El muy k... me ha borrado todo el directorio /var/log también. > > Hay alguna manera de saber cómo ha podido entrar ? > > Gracias de antemano. > > Jaume. > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > > -- > Este mensaje ha sido analizado por MailScanner > en busca de virus y otros contenidos peligrosos, > y se considera que está limpio. > > -- > Este mensaje ha sido analizado por MailScanner > en busca de virus y otros contenidos peligrosos, > y se considera que está limpio. > >
Re: Ataque... hacking....
Sólo para agregar que uno de los softs que funcionan como "Combrobador de integridad" del que habla Matias es el Tripwire. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED]
RE: Ataque... hacking....
Has intentado recuperar esos archivos de log eliminados ? http://www.praeclarus.demon.co.uk/tech/e2-undel/howto.txt http://recover.sourceforge.net/linux/recover/ Avisanos si averiguas algo !! Saludos. -Mensaje original- De: Jaume [mailto:[EMAIL PROTECTED] Enviado el: lunes, 13 de diciembre de 2004 17:06 Para: debian-user-spanish@lists.debian.org Asunto: Ataque... hacking Hola a todos. Tengo un servidor de web,correo, etc.. con varias webs alojadas. Hoy por lam añana me ha entrado un haquer: WhackerZ y me ha indeado todas los index.php con una página suya, reivindicativa, etc... Ya he restaurado el servidor (gracias a las copias..:) ), pero me gustaria saber cómo ha podido entrar. Tengo una debian woody actualizada al máximo y con el shorewall haciendo de firewall y capando todos los puertos excepto : apache - 80, postfix - 25, courier-pop - 110, ssh - 22, mysql - 3306 proftpd - 21 El kernel es el 2.4.21. El muy k... me ha borrado todo el directorio /var/log también. Hay alguna manera de saber cómo ha podido entrar ? Gracias de antemano. Jaume. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio.
Re: Ataque... hacking....
El kernel es el 2.4.21. no creo que haya utilizado algun bug directamente del kernel, a no ser que haya tenido acceso directo a la consola, pero igual si te interesa tener el kernel actualizado tenes: www.kernel.org The latest 2.4 version of the Linux kernel is: 2.4.28 Más allá de lo que te mencioné antes, esa máquina reinstalala TODA cuanto antes... este es el punto mas importante: como dijo matias, te diria que reinstales desde cero todo el sistema operativo, no sirve con parchear, restaurar archivos, etc. puede que tengas los binarios infectados con rootkits por lo cual, ni el ps te mostraria los procesos corriendo en background, el netstat, incluso ni el top te mostraria el consumo de cpu. todo, absolutamente todo puede estar infectado. saludos, velkro.
Re: Ataque... hacking....
El Mon, 13 Dec 2004 17:05:45 +0100 Jaume <[EMAIL PROTECTED]> escribió: > Hola a todos. > Tengo un servidor de web,correo, etc.. con varias webs alojadas. > Hoy por lam añana me ha entrado un haquer: WhackerZ y me ha te ha entrado un craker > indeado todas los index.php con una página suya, reivindicativa, es algo bastante común estos días > etc... Ya he restaurado el servidor (gracias a las copias..:) ), Felicitaciones por los backups!!! > pero me gustaria saber cómo ha podido entrar. Tengo una debian woody > actualizada al máximo y con el shorewall haciendo de firewall y dirás IpTables haciendo de firewall > capando todos los puertos excepto : > > apache - 80, > postfix - 25, > courier-pop - 110, > ssh - 22, > mysql - 3306 > proftpd - 21 No entiendo porque dejar en mysql al exterior, pero eso no es el punto real. El firewall puede evitar algunas cosas, pero el tráfico "correcto" al servidor web seguro que lo dejará pasar, por más que sea un exploit para el webserver. Yo me inclinaría (por cuestiones que estuve viendo hace poco) por el webserver, y más si tienes WebDav o alguna galería de fotos hecha en PHP (habían varias que no son muy viejas y tienen demasiados fallos graves de seguridad). Por lo cual para estar más tranquilo yo que tu iría viendo de auditar un poco el código PHP que haya, buscar vulnerabilidades ya anunciadas de los programas que tengas instalados (los programas que se relacionen directamente con el webserver). En una menor medida, también fíjate si tienes algún usuario que tenga una contraseña de diccionario. En los últimos meses (casi un año) hay dando vueltas por internet un brutessh. A mi me están dando murra todo el día (hace varias semanas), pero como no tienen ningún usuario por ahora no pueden hacer mucho (por ahora) Otra cosa que pudieron hacer es entrarte por alguna aplicación web mal hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que sea en tu sistema) y así conseguir las contraseñas con algún programa. > > El muy k... me ha borrado todo el directorio /var/log también. Es algo usual, yo para eso hago que cada 15 minutos se manden por mail los últimos logs a otra máquina, no es lo mejor, pero al menos me quedo con bastante información (esto lo hace el logckech). > > Hay alguna manera de saber cómo ha podido entrar ? Más allá de lo que te mencioné antes, esa máquina reinstalala TODA cuanto antes, pueden haber varios programas "infectados" con algún troyanon, con lo cual volverán a entrar como si estuvieran en su casa. Para verificar esto para la próxima vez puedes fijarte que hay varios "comprobadores de integridad" de los archivos. No recuerdo ahora el nombre, pero sacaba una comprobación de todos los ejecutables del base y luego eso lo podías grabar en un CD o lo que sea, luego cuando querías comprobar todo ponías el CD y corrias la comprobación, estoy casi seguro que esto lo vi en Debian hace un tiempo. Otra medida preventiva interesante podría ser el instalar y configurar bien un IDS como snort, no hace milagros, pero ayuda bastante contra los ataques a servicios "permitidos". -- Atentamente, yo Y sin fumar desde (casi) el '1089515700' http://www.nnss.d7.be Let one walk alone, commit no sin, with few wishes, like an elephant in the forest
Re: Ataque... hacking....
El lun, 13-12-2004 a las 17:05, Jaume escribió: > El muy k... me ha borrado todo el directorio /var/log también. > > Hay alguna manera de saber cómo ha podido entrar ? > Si te ha borrado los registros es un poco complicado, pero ¿es posible que hay entrado conociendo la contraseña de un usuario? ¿Son usuarios reales los del servidor POP? Ahora has restaurado el sistema, pero ¿cómo te aseguras de que no vuelva a entrar? > Gracias de antemano. De nada, yo he sufrido un par de veces estos ataques y lo único bueno que tienen es que normalmente aprendes a cerrar un poco mejor tu sistema (quien no se consuela es porque no quiere ;-) )