Advertisement
Bienvenido a Squishdot Reportes Anuncios Debian Ciencia Linux
 principal
 nivel superior
 enviar artículo
 buscar
 administrar
 acerca de ...
 rdf
 rss
 main


Reportando
Anuncios Posted by Victor Martinez on Friday June 01, @11:13PM el 2007
from the A que des... dept.
Esta semana... estoy para variar mas ocupado con la maestria.
Pero entrando a lo de los reportes, esta semana, no toque nada de lo del wiki. Ya tengo mas idea de como juntar el css de la pagina con esto, pero aun me falta crear la plantilla para cada grupo, equipo, etc.

Yo se que ya urge lo del wiki, por lo que espero dejar al menos algo usable para el lunes. Si no es asi, les paso mis notas e ideas, puesto que voy a estar en entregas y no va a ser posible que le de continuidad al menos por un rato.

Por que linux sigue fuera de linea, bueno tuvimos una intrusión, en realidad no demasiado grave en cuanto a comprometer el sistema... resulta que con el cambio a etch, quedo fuera mod_security, que habia ya filtrado numerosos intentos de usar exploits en php... por otro lado, con el tiempo nuestros usuarios y proyectos han dejado aplicaciones que ya no se les da soporte, por lo mismo es probable que via zentrack o un calendario (webcalendar) al cual no se le dio seguimiento se haya corrido un crosscript, el detalle es que via este se puso una pagina de phishing de ebay...

Por lo cual llego un reporte a informatica, la cual tuvo a bien sacarnos de linea y pedir una imagen bit a bit del disco de la maquina, cosa que ya se hizo (200GB algo asi como 5hrs) se entrego el original a informatica y tenemos "nuevo" disco, se corrio revison el sistema desde un cd para asegurar no usar binarios modificados y una vez que no se encontro modificaciones en los mismos se procedio via un chroot a probar debsums y checksecurity. Aun asi se reinstalaron un par de binarios que pudiesen estar comprometidos.

¿Como fue que paso? bueno el directorio de /tmp es noexce, asi que el atacante localizo via la inclusion de un shell php un directorio con permisos 777 y de ahi probablemente corrio un shell con los permisos de apache (es mas es probable que nada mas haya empujado los archivos via el script, sin siquiera necesitar un shell extra), para colocar su pagina y ahi le pierde uno la pista en las bitacoras de apache, en fin que informatica, dice que va a realizar un forensic analysis. No me sorprenderia que encontraran el shell que uso el atacante (yo dedicandole un rato con el sleuthkit, encontre informacion bastante viejita en el /tmp pero yo creo que hay cosas mas interesantes en el directorio donde trabajo, puesto que en /tmp no es probable que haya pasado nada interesante).

Bueno en eso se fueron un par de dias, podran notar que no estoy corriendo apache, mysql, ni postgresql. Estoy considerando que aplicaciones ya no se usan... una de las que me brinca es zentrack , asi como el irc (que dicho sea de paso corremos en el puerto 7000 puesto que el 6667 esta cerrado) y el bot de mundito, de momento he buscado todas las aplicaciones que estaban en el raiz de apache que ya no se usan y las he guardado en un respaldo, tambien estoy apuntando unas cuantas que requieren actualizarse.

He considerado mucho la idea de Edgar de agarrar el disco de linux y pasarlo a sagan (y unificar los nombres, es decir que sagan tambien sea linux) y pasar los usuarios a la maquina mas grande, sin embargo en este momento no tengo tiempo... asi que es probable que esto se realice en la segunda semana de junio.


repopo | Porte, porte, reporte: 2007-05-21 - 2007-05-25  >

 

Related Links
  • Articles on Anuncios
  • Also by Victor Martinez
  • Contact author
  • The Fine Print: The following comments are owned by whoever posted them.
    ( Reply )

    Powered by Zope  Squishdot Powered
      "Any system that depends on reliability is unreliable." -- Nogg's Postulate
    All trademarks and copyrights on this page are owned by their respective companies. Comments are owned by the Poster. The Rest ©1999 Butch Landingin.
    [ home | post article | search | admin ]