|
|
|
Secciones
Login Barrapunto
stivie (13452)
(email no mostrado públicam.)
http://barrapunto.com/~stivie/bitacora
Érase una vez Dios, quien en un momento aburrimiento creó el hombre. Éste hombre creó otro hombre, éste a otro y así sucesivamente. Tras una larga sucesión otro hombre fue creado, y llamado "Stivie". En ese punto, Dios se dió cuenta del grave error cometido, y decidió darle remedio a su manera.
Publicidad
Publicidad
Sobre el hackeo de mi servidorcillo (con breve analisis)
Alguien, muy posiblemente en mi universidad, ha "esnifado" mi contraseña del correo electrónico, y ha tenido la idea de utilizarla por SSH. Posteriormente ha aprovechado el que tenga instalado el kernel 2.4.25, que es exploitable. (no lo actualicé porque el servidor sólo lo utilizo yo).
Que haya entrado utilizando algún fallo de mi configuración. Ni idea cómo....
Un bug del Software. No encuentro cuál podría ser...el último bug serio que se indica en la página de seguridad de Debian testing que podría afectarme es del Exim, y supuestamente ya estaba reparado cuando acaeció la intrusión.
Tras la entrada el intruso se valió del rootkit t0rnkit para asegurarse una puerta trasera SSH por el puerto 15420, y sustituir algunos binarios para disimular su presencia.
Me inclino por pensar que mi contraseña inicial ha sido interceptada, porque, aunque el webmail de mi servidor incorporaba SSL, los viejos Windows 95 de mi facultad no lo aceptan, y tenía que enviar las claves del correo sin cifrar (la clave del email era la misma que la del SSH...). Y reconozco que me escuece que alguien entre en mi chiringuito particular. Pero todo son teorías, y lo único que sé es que en los próximos días voy a sustituir mi Debian por un FreeBSD.
¿Y tú? ¿Eres el sufrido admin de una universidad y has sufrído una intrusión tras otra? ¿sufres muchos ataques? ¿y tú, has taladrado algun chiringuito ajeno, encontrando algo curioso o interesante? (anda, dilo aquí, anonimamente, porfa
Pues nada más, un saludete a tod@s!!
ACTUALIZACION (17 Jun'04, 4:55 AM): He puesto un comentario con un breve análisis, a petición de varios lectores. Saludos.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Análisis forense
(Puntos:1)( http://barrapunto.com/ | Última bitácora: Viernes, 23 Septiembre de 2005, 11:20h )
Un saludo.
"Cualquier tonto puede usar un ordenador. Muchos lo hacen."
Pues es cierto
(Puntos:1)( http://barrapunto.com/ | Última bitácora: Domingo, 14 Febrero de 2010, 23:49h )
Venga anda, lúcete un poquito :)
FreeBatasuna [blogspot.com].
...---...
(Puntos:2)( http://www.thylacinus.net/ | Última bitácora: Sábado, 12 Noviembre de 2005, 10:13h )
otra cosa, lo que he montado por ssh no se usa sin ssh, las contraseñas importantes son de las chungas (mayúsculas, minúsculas, números y de 12 caracteres) y todas distintas, la seguridad te va en ello, en cambio las cuentas de mierda tienen todas la misma, total aunque me las revienten, quien quiere una cuenta de hotmail que recibe 200 spams diarios, y lo de parchear el kernel, en cuanto sale una nueva versión, corro lo que puedo, eso sí ya contarás más sobre el análisis forense, que nunca he hecho uno y la verdad siempre hay una primera vez (lo siento de verdad).
---
"Nunca perteneceré a un club que me admita como socio."
Julius H Marx.
Breve análisis forense
(Puntos:3, Interesante)( http://barrapunto.com/~stivie/bitacora | Última bitácora: Sábado, 06 Septiembre de 2008, 23:16h )
1. Primeros síntomas entraños, de sospecha.
- Al entrar en el sistema: el comando "ls" dice que no tiene permisos para ser ejecutado por un simple usuario. Con los comandos "netstat" e "ifconfig" ocurre lo mismo, y otros varios..
- Inicio el Midnight Commander y me muestra directorios que no estaban "previstos"
- El comando "last" detecta 2 conexiones desde direcciones IP correspondientes a un dominio italiano, con las que yo no tengo nada que verl. Una a las 23:28 (0 minutos) y otra a las 9:26 (12 minutos). En los logs figura que se ha hecho root, tras un par de intentos fallidos de introducir la clave de mi cuenta (ojo, mi contraseña es complicada, no es ningun tontería), y después aparece que se ha hecho root (Lo siento, no tengo los logs a mano para cortar y pegar)
2. Acciones a tomar.
- Busco en mi escritorio un disquete que tenia guardado con utilidades básicas: ls, netstat, lsof (list open files), find
- Yo no uso Hashes MD5 (guardados en disquete a salvo,y actualizados), pero sería lo ideal para detectar los binarios que tienen troyanos.
3. El análisis.
- Investigué las posible puertas de entrada. Comandos que usé:
* usé el comando " ps" de mi disquete y lo primero que encontré fue un directorio llamado
/lib/libproc.a
/lib/libproc.so.2.0.6
/lib/libproc.so (enlace simbólico)
/lib/lidps1.so
/usr/include/file.h (ficheros que oculta "ls")
/usr/include/hosts.h (conexiones que se deben ocultar)
/usr/include/log.h
/usr/include/proc.h (procesos que oculta ps)
/lib/lblip.tk/shdcf2
/lib/lblip.tk/shhk.pub
/lib/lblip.tk/shk
/lib/lblip.tk/shrs
/usr/sbin/xntps (129.112.21.181 hardcoded into binary)
/lib/ldd.so/tks (sniffer)
/lib/ldd.so/tkp (parser)
/lib/ldd.so/tksb (long cleaner)
/dev/srd0 (que contiene md5sums de ficheros como:
* Los ficheros sustituidos por troyanos son (corto y pego):
/bin/ps
/sbin/ifconfig
/bin/netstat
/usr/bin/top
/usr/bin/slocate
/bin/login (extra bytes are added to match file sizes)
/bin/ls
/usr/bin/find
/usr/bin/dir
/usr/sbin/lsof
/usr/bin/md5sum
/sbin/syslogd
/usr/bin/pstree
* find / -perm -4000 Este comando suele ser recomendado en caso de "sospecha" de que te hayan "taladrado" el "chiringuito". No vi con él nada novedoso...
4. Último paso.
Normalmente para acabar, conviene proceder a la reinstalación del sistema: nunca se sabe si puede haber otra puerta trasera, además de la xntps que me colaron a mí. No se debe dejar un sistema hackeado nuevamente activo: siempre hay que reinstalar, poner parches y asegurarlo lo mejor posible.
5. Conclusión
Afortunadamente para mí, ya había leído algo sobre como actuar en sites como SET Ezine [set-ezine.org]. Concretando, existe un artículo de Paseante en SET n 24 (creo que era ese número...) que me sirvió de cierta guía. Tambíen en Rediris hay información muy interesante de