 |
|
|
|
|
|
| principal nivel superior enviar artículo buscar administrar acerca de ... rdf rss main |
 Posted by Víctor Manuel Martinez M. on Tuesday May 17, @09:24PM el 2005from the dept. Mayo Segunda semana 9/05/05 Probando Gentoo linux en la Compaq Evo (128MB RAM PIV 1.7GHZ) 2hrs Migrando Claroline 1.6beta1 a Claroline 1.6.0 Final 10/05/05 Seguimos con la instalación de Gentoo ya vamos por el paso 7 del install handbook http://www.gentoolinux.org/doc/en/handbook/handbook-x86.xml Reorganización de los discos duros en janus, para poder hacer mejor uso del disco SATA incluido y del reemplazo IDE que esta en esa maquina, se movió /var /home y /usr a particiones separadas. Actualización de seguridad: janus, avalon, linux, sagan.cl Actualización Gallery 1.4.x a 1.5 en janus/galeria, linux/galeria (en linux esta actualización estaba en espera puesto que lo ultimo de la serie 1.4.x producía un loop a la hora de la configuración) 11/05/05 Curso de Black Board 9:00hrs-18:00hrs 12/05/05 Curso BB 9:00hrs-18:00hrs Actualización de phpbb a 2.0.15 en Linux/foro Avalon/foro (la version 2.0.15 salio el 7 de Mayo). Actualización de seguridad: iptables en janus, sagan.cl Revisión de virus/worm/cadena recibido por Palmis Creación de reporte según los datos disponibles ip de origen del mensaje: inetnum: 202.169.52.40 - 202.169.52.47 netname: BIZNET-PT-SPS-BLOCK descr: PT. Saint Peter School descr: Jakarta Utara La maquina infectada que esta enviando correo esta en Jakarta… y tiene una infección de W32/Netsky.P@mm En algún momento esa maquina debió recibir un correo de Palmis o navegar por algún sitio donde se encontrara su correo, debido a que Netsky contiene su propio SMTPD no necesita mas que encontrar direcciones en cualquier parte del sistema, para auto enviarse. Conferencia telefónica con Edgar para ver la necesidad de reportes semanales y el estado del análisis del correo. 13/05/05 Curso BB 9:00-14:00hrs 14/05/05 10:00hrs Actualizacion de seguridad hotfix en 2.0.15 de phpbb, liberado ese mismo día puesto que permite ejecución de código vía phpincludepath: janus, linux/foro 22:00hrs Intrusión en Janus vía phpnuke (se conocia de la vulnerabilidad desde el 10, el 13 apenas salio el parche), aprovechando que la mayoría de los sistemas ejecutan programas en /tmp y /var/tmp se coloco explotando el phpincludepath un mailbomber conocido como r0nin.htm junto con su lista de correos a enviar (todos ubicados en Brasil), se detuvo el MTA, para evitar mas envió de correo, se reviso por la presencia de rootkits http://www.chkrootkit.org ,de hecho se detuvo uno que no detecta el mencionado programa “bindz” que permite acceder a la maquina como el usuario nobody, afortunadamente en janus no tenemos ningún directorio donde el dueño sea nobody, por lo mismo la intrusión no pudo escalar mas. Los intrusos estuvieron probando desde el 10, lograron descargar sus archivos el 13 y ejecutarlos entre el 13 y el 14… en ese lapso que se calcula estuvo corriendo el mailbomber (12hrs estimado) se recibieron 36mil bounces de direcciones que tomaron el correo como spam, se llenaron o bloquearon la recepción del mensaje, se marcaron todos los correos aun en cola para enviar con estatus “hold”, encontrándose que aun seguían 18mil por enviarse, estos se borraron usando postsuper –d ALL hold, se modifico /var/tmp y /tmp para montarlas como nosuid,noexec, de tal forma que aun cuando se vuelva a presentar un exploit similar sea mas difícil ejecutar, termino de actividad, maquina posiblemente comprometida 1:36hrs 15/05/05 21hrs Revisión de bitácoras, revisión por rootkits, revisión por regreso de atacantes, nuevos atacantes esta vez uruguayos intentan el mismo truco, no funciona ya que se encuentra parchado parcialmente el bug, sin embargo hacen deface de la pagina principal de janus, se parcha correctamente y a conciencia el phpnuke, se comprueba la autenticidad de los binarios del sistema, la maquina parece estar bien, queda para el lunes frente a la consola, correr el chkrootkit desde un disco de arranque (RIP) así como el f-prot. Se reúne toda la evidencia de los dos ataques y se envía a los correspondientes ISPs Por prevención en linux se modifica también /var/tmp y /tmp con las opciones noexec,nosuid, hora de termino 00:34hrs < A Big Mac is a Big Mac but they call it Le Big Mac | Reporte Mayo primera semana >
|
|
|||||||||||
|
|||||||||||||
 |
||
 
|
"Any system that depends on reliability is unreliable." -- Nogg's Postulate | |
| All trademarks and copyrights on this page are owned by their respective companies. Comments are owned by the Poster. The Rest ©1999 Butch Landingin. | ||
Reporte Mayo segunda semana
