Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com) (12 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 11:07AM
Pablo Vargas (pvr mza gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:56PM
Camilo Uribe (camilo uribe gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:14PM
A. Ramos (aramosf unsec net)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 15 2009 09:41PM
Camilo Uribe (camilo uribe gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 04:58PM
Alfonso Valdes Carrales (ponchovaldes gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 01:39PM
Nicolás Solano (nicolassl33 yahoo com mx)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 12:01AM
Jose Selvi (jselvi pentester es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:26PM
Pablo Vargas (pvr mza gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:19PM
Leonardo Aguado (aguado leonardo gmail com)
RE: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:56PM
Oscar Cardona (oscar aismalibar com) (1 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:38AM
Jaime Pérez Crespo (jperez blackspiral org)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:42PM
Juan Pablo Macias (jpmacias gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:29PM
Mauricio Campiglia (mcampigl uy ibm com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 05:32PM
the ska (k4ncerbero gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:08PM
Bruno G. San Alejo (bgonzalez polar es)
Buenas, no es que yo sepa mucho de respuesta de incidentes, pero yo
miraria la direccion y el trafico de red hacia esa direccion. Utilizaria
Wireshark, y no lo correria en esa maquina. Si esta poseida no es
fiable. Ponlo en otra maquina en el mismo segmento de red si tienes
routers o switches y lo haces en promiscuo. No te canses con ps o
netstat o corriendo cosas en la maquina, si esta poseida no es fiable.

Tambien hazle un scan con Nmap a TODOS los puertos a ver que te
sale. Y si tienes Nessus deberias de correrlo tambien. Si no lo haces
regularmente, deberias.

Saludos.

kazabe wrote:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con
> un servidor web. El servidor solo tiene los paquetes oficiales de
> lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun
> tipo) y simplemente publica un sitio web en el cual se confirman los
> pedidos que realizan a la empresa, usando php y almacenando en mysql
> local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01
> ./s 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el
> internet ya no funciona, y efectivamente no puedo hacer ni siquiera un
> ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12
> tiene un trafico exageradamente alto hacia el puerto 80 de la IP
> 86.23.114.12. Desconecto el servidor web, y el internet vuelve a
> funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo
> sigue funcionando sin problemas, asi que logicamente el problema es
> que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD
> de Lenny como distro oficial, no tengo nada de accesos remotos, y solo
> tengo instalado lo estrictamente necesario, como pueden haberme metido
> ese proceso ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus,
> pero hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa
> direccion IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la
> primera» :
> Albert Einstein

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:00PM
Crg (crg segfault es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 03:48PM
Alfonso Valdes Carrales (ponchovaldes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus