Advertisement
Bienvenido a Squishdot Reportes Anuncios Debian Ciencia Linux
 principal
 nivel superior
 enviar artículo
 buscar
 administrar
 acerca de ...
 rdf
 rss
 main


Reporte de actividades 1 al 16 de marzo
Linux Posted by Víctor Martínez on Monday March 16, @11:32PM el 2009
from the dept.
1 de marzo
Janus resulto estar fuera de linea, por que fallo el UPS del IDF donde esta localizado mi cubiculo, asi que no fue sino hasta cerca de las 11am que todo el piso regreso a la red, cuando redes fue a reiniciar los switches, por que ademas hay que hacerlo en orden.


6 de marzo
Reportan una violación de copyright en tsg.icme11.org, dado que corre rails, me comunico con Gunnar y le damos una revisión es curioso puesto que el atacante parece conocer rails y subversión, recibo también una llamada de Ricardo, para comentarme lo de la violación de copyright, localizamos un par de scripts en php uno de ellos la pagina que reportaban con la violación de copyright, el segundo archivo era un phpshell, es curioso el que tan solo se hubiera colocado la pagina de descargas y venta de software y no mas cosas, supongo que no se hizo mas dado el posicionamiento de la pagina en google y demas buscadores… sin embargo se descargaron los logs de mas de una cuenta y se revisaron offline, también del sitio principal… después de revisar logs, y los tiempos de creación de los archivos lo mas probable es que se insertara el archivo via drupal durante las fiestas de diciembre cuando el sitio estuvo sin parchar casi dos semanas. Despues de preparar una replica para trabajar offsite, se pasaron los datos a dos listas de seguridad y se borraron del sitio los archivos en cuestion. Se contacta faraonics y se les explica que se ha removido la pagina en cuestion y se esta trabajando en auditar nuestro sistema

8 de marzo
Nos reportan de nuevo que ha regresado el atacante, tenemos de nuevo la misma pagina en el mismo lugar, como es domingo y ya estoy realmente cansado como paliativo tan solo añado un script que encuentre cualquier php que aparezca en el home donde corre rails, corriendo cada hora.

Por otro lado se añade update_status para mantener al dia de manera mas concisa Drupal, Ricardo pregunta que si no estaba en el core, y no por que resulta que esta en el core pero de 6.x no de 5.x para la información completa:

Q. Why isn't this in Drupal core?

A. It wasn't ready in time for Drupal 5. However, we're happy to report that this module is now part of Drupal 6 as the "update.module". See issue #94154 for the full story. Please note that some of the advanced settings in the 5.x version of Update status are not present in the update.module in 6.x core, and have been moved into the Update status advanced settings module for Drupal 6.x and beyond.

La historia completa en http://drupal.org/node/94154

Quien nos reporta de nuevo la pagina nos comenta tambien de una vulnerabilidad conocida en svn.
http://www.adamgotterer.com/2009/01/26/hacking-the-svn-directory/

Mmore probably the hack, the shell has ben added again, we added update_status to drupal, and update a lot of modules that where awful old.

Unfortunately as we reported that the page was removed, the site was injected again, even with that information and searching the logs we’re unable to pinpoint the injection vector…

Also send email to faraonics contac and changed the script if found php also rm it.t

9 de marzo


Vuelve a estar fuera de linea janus, otra vez, es el IDF, fallo de nuevo el UPS, sin embargo parece que esta ocasión algo mas se daño todo el dia la conexión del piso completo es deficiente, mas de un grupo de redes trabaja en el IDF, por la tarde, me comentan que al principio tenian problemas con que los switeches iniciaran en el orden correcto, pero que por la tarde el problema es que no funciona bien el enlace de fibra, por lo que estan probando la conexión fisica, para la noche las cosas funcionan al fin…

Llamada de Ricardo para saber sobre el sitio y si lo podemos congelar, para evitar futuros problemas con la ejecución de php y el mantenimiento del sitio, le comento lo que posteo nuestro intrepido lider en el squishdot.

Se actualizan todas las versiones de modulos que reporta update_status a las current. Ahí nos damos cuenta de que algunas de las que usamos son alpha o no tienen una versión actual

10 de marzo
Búsqueda exhaustiva en los logs, se descargan los logs de xc9, icme, manuelm2, etc, se hace una búsqueda en una maquina offsite, no se logra encontrar el vector de entrada de la inyección.

Durante la revision de nuestros sitios Edgar Senior recibio correo de que un script de imagemagick estaba dejando muchos temporales, en mayo.

En xc9 localizo un proceso que esta corriendo convertí y que es llamado mediante un script que maneja ulimit como queriendo engañar al process killer de DH, por lo tanto coloco mis descubrimientos en el sitio, tambien contacto a Duke, que sin embargo dice que no sabe que podria ser, posteriormente menciona que pudiera ser de mediawiki, ya que usa muchos gif animados, sin embargo el directorio en el que encontre el script no existe en una instalacion normal de mediawiki, por lo que ajusto nuestro script para borrar temporales para que de hacerlo cada 8 dias lo haga cada 72 horas y renombre el directorio de bin a old.bin, si algun script lo usa en las proximas 48 horas alguien se va a quejar…

11 de marzo
Se cierra tanto con el script como con la sugerencia que nos envían al correo que en el sitio de tsg se sirva contenido del directorio .svn http://www.adamgotterer.com/2009/01/26/hacking-the-svn-directory/

RewriteRule (\.svn)/(.*?) - [F,L]
Se prueban otras reglas en el .htaccess Gunnar desde el sabado habia sugerido prohibir la ejecución de php en el directorio de rails, sin embargo es una funcion que ya han retirado del panel en DH.

Gunnar me envia correo mencionando el CVE-2008-6176 possible local file inclusión in certain setups, sin embargo si actualizamos cuando salio esa vulnerabilidad…

12 de marzo
Pensando en usar filesmatch para no depender de mod_rewrite (que me parece tiene un costo mas alto de cpu)
Tomado del .htaccess de Drupal
# Protect files and directories from prying eyes.
<FilesMatch
"\.(engine|inc|info|install|module|profile|test|po|sh|.*sql|theme|tp
l(\.php)?|xtmpl|svn-base)$|^(code-style\.pl|Entries.*|Repository|
Root|Tag|Template|all-wcprops|entries|format)$">
Order allow,deny
</FilesMatch>
Would add svn alone.


16 de marzo
Cambios (durante la madrugada) en el ISP de la UPN, sin embargo parece seguir fallando la energia, hoy se reinicio janus a las 9:18, 9:45 y 9:48am.



reporte | Congelamiento  >

 

Related Links
  • Articles on Linux
  • Also by Víctor Martínez
  • Contact author
  • The Fine Print: The following comments are owned by whoever posted them.
    ( Reply )

    Powered by Zope  Squishdot Powered
      "Any system that depends on reliability is unreliable." -- Nogg's Postulate
    All trademarks and copyrights on this page are owned by their respective companies. Comments are owned by the Poster. The Rest ©1999 Butch Landingin.
    [ home | post article | search | admin ]