Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com) (12 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 11:07AM
Pablo Vargas (pvr mza gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:56PM
Camilo Uribe (camilo uribe gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:14PM
A. Ramos (aramosf unsec net)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 15 2009 09:41PM
Camilo Uribe (camilo uribe gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 04:58PM
Alfonso Valdes Carrales (ponchovaldes gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 01:39PM
Nicolás Solano (nicolassl33 yahoo com mx)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 12:01AM
Jose Selvi (jselvi pentester es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:26PM
Pablo Vargas (pvr mza gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:19PM
Leonardo Aguado (aguado leonardo gmail com)
RE: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:56PM
Oscar Cardona (oscar aismalibar com) (1 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:38AM
Jaime Pérez Crespo (jperez blackspiral org)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:42PM
Juan Pablo Macias (jpmacias gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:29PM
Mauricio Campiglia (mcampigl uy ibm com)
listbounce (at) securityfocus (dot) com [email concealed] wrote on 03/11/2009 06:09:04 PM:
> Si tengo todo el servidor actualizado, lo monte directamente con el
> CD de Lenny como distro oficial, no tengo nada de accesos remotos, y
> solo tengo instalado lo estrictamente necesario, como pueden haberme
> metido ese proceso ./s ???????????

Lenny es un punto en el tiempo. Si no mantienes las actualizaciones de
seguridad es lo mismo que si a otro sistema operativo nunca le aplicas un
paquete de servicio. Por otra parte si tienes programación del lado
servidor web, como entiendo por lo que mencionas, entonces tienes otro
vector de ataque. Finalmente, eso de no tener absolutamente ningún otro
servicio accesible es de dudar, ¿cómo administras el equipo, ssh?

> como puedo buscarlo y eliminar que lo causa? es que parece un virus,
> pero hasta donde tengo entendido, eso con linux todavia no rula mucho.

De seguro gente con más experiencia te puede dar alguna pista de por donde
empezar. Yo revisaría logs, revisaría los programas php y conexos en busca
de falta de seguridad en la programación, validaría usuarios activos y
contraseñas robustas...

Es un error pensar en términos de que un SO es más robusto por el número
de virus que se le conocen. Para empezar un sistema puede ser tan robusto
como lo permita su administrador. Con mis amigos preferimos hablar de
ambientes ascépticos y caldos de cultivo, es decir lugares en los que es
más común que ese tipo de problemas existan. Sin embargo la cantidad de
vectores es mucho mas amplia, y en el caso que mencionas mis apuestas
inician en el programa y siguen por algún servicio no emparchado, pasando
por una contraseña de acceso administrativo violada, nada de virus.

Una cosa que te puede ayudar a identificar el origen del problema es que
veas qué trafico genera, y te recomendaría dirigirte a tu CERT mas cercano
por ayuda para eso.

Saludos,
Mauricio Campiglia

--
"History is a vast early warning system."
-- Norman Cousins --

>
> He tratado de buscar registros relacionados o que contengan esa
> direccion IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la
primera» :
> Albert Einstein

0? *?H?÷
 ?0?ô1 0 +0  *?H?÷
 ?L0?0?l¹/`Ì??¡zF ¸[pl?¯0
 *?H?÷
0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network0
980518000000Z
280801235959Z0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network0?0
 *?H?÷
0?§?!t,çð?á?<!ñ?Û?é?ü¾_RÈÌ,V,¸i,Ì?­°?®yò9Á{?º
,èÂ?,ªié ôÇ©¤BÂ#OJØð¢û1lÉæo?'õæôLx?mëF?ú¹?ÉTò²Ä¯ÔFZÉ0ÿ
lõ-mÎw0
 *?H?÷
r.ùÑñqûÄ?öÅ^Q?@?¸hø??Ø❽ÿí¡æfê/ ôÊ×ê¥+?ö$`?MD.?¥Ä- Ó®xiorÚl®ðc?7æ»Ä0­wÌI5ªÏ؏Ѿ·?GsjT"4d-¶?Y[´QY:³ 
ôßg ô­2d^±Fr'?{ÅD´®0?0?l¹/`Ì??¡zF ¸[pl?¯0
 *?H?÷
0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network0
980518000000Z
280801235959Z0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network0?0
 *?H?÷
0?§?!t,çð?á?<!ñ?Û?é?ü¾_RÈÌ,V,¸i,Ì?­°?®yò9Á{?º
,èÂ?,ªié ôÇ©¤BÂ#OJØð¢û1lÉæo?'õæôLx?mëF?ú¹?ÉTò²Ä¯ÔFZÉ0ÿ
lõ-mÎw0
 *?H?÷
r.ùÑñqûÄ?öÅ^Q?@?¸hø??Ø❽ÿí¡æfê/ ôÊ×ê¥+?ö$`?MD.?¥Ä- Ó®xiorÚl®ðc?7æ»Ä0­wÌI5ªÏ؏Ѿ·?GsjT"4d-¶?Y[´QY:³ 
ôßg ô­2d^±Fr'?{ÅD´®0?,0?? :?7­ÈSEÈUK5?0
 *?H?÷
0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network0
030506000000Z
130505235959Z0ù1 0 UUS1402U
+International Business Machines Corporation10U VeriSign Trust Network1;09U 2Terms of use at https://www.verisign.com/rpa (c)03100.U 'Class 2 OnSite Individual Subscriber CA1$0"UIBM Certification Authority0?0
 *?H?÷
0?Õg­5Ý ~ýWa֝§˹£#\?è·gçH}¹ á°Q믠{?¸H?²HæOÝä4/åÍÎf¾F?7 é,a/ô£äYçén'¹m]ÇU?ÁÔêª??ÅÖ?ªMÏ®ô%U_RÎ?-@ió|&%º??2ßÓ?ߺ£?é0?
å0Uÿ0ÿ0DU =0;09 `?H?øE0*0(+https://www.verisign.com/rpa04U-
0+0) ' %?#http://crl.verisign.com/pca2-g2.crl0 U0 `?H?øB0)U"0 ¤010UPrivateLabel2-1270U?Ás°sÕÙ?tgÍñQ41¶,Z0èU#
à0Ý¡Ç¤Ä0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network?¹/`Ì??¡zF ¸[pl?¯0
 *?H?÷
? POÆ3°Òd?¥-uNT???|?KMÎ,çãùßOþÌhßÚ ?2µE¥ë,jÊ ??
î³m#p)+L7»&S¤Ø?$öýµè[ç .÷?1nS??¬Ú¡¿á?l\ml?@?#eÄdëÚÏPk¿ëÐy@ùFõ6HÏ0
?,0?? :?7­ÈSEÈUK5?0
 *?H?÷
0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network0
030506000000Z
130505235959Z0ù1 0 UUS1402U
+International Business Machines Corporation10U VeriSign Trust Network1;09U 2Terms of use at https://www.verisign.com/rpa (c)03100.U 'Class 2 OnSite Individual Subscriber CA1$0"UIBM Certification Authority0?0
 *?H?÷
0?Õg­5Ý ~ýWa֝§˹£#\?è·gçH}¹ á°Q믠{?¸H?²HæOÝä4/åÍÎf¾F?7 é,a/ô£äYçén'¹m]ÇU?ÁÔêª??ÅÖ?ªMÏ®ô%U_RÎ?-@ió|&%º??2ßÓ?ߺ£?é0?
å0Uÿ0ÿ0DU =0;09 `?H?øE0*0(+https://www.verisign.com/rpa04U-
0+0) ' %?#http://crl.verisign.com/pca2-g2.crl0 U0 `?H?øB0)U"0 ¤010UPrivateLabel2-1270U?Ás°sÕÙ?tgÍñQ41¶,Z0èU#
à0Ý¡Ç¤Ä0Á1 0 UUS10U
VeriSign, Inc.1<0:U 3Class 2 Public Primary Certification Authority - G21:08U 1(c) 1998 VeriSign, Inc. - For authorized use only10U VeriSign Trust Network?¹/`Ì??¡zF ¸[pl?¯0
 *?H?÷
? POÆ3°Òd?¥-uNT???|?KMÎ,çãùßOþÌhßÚ ?2µE¥ë,jÊ ??
î³m#p)+L7»&S¤Ø?$öýµè[ç .÷?1nS??¬Ú¡¿á?l\ml?@?#eÄdëÚÏPk¿ëÐy@ùFõ6HÏ0
?k0?Ô ??¢sqéÏq1+dÑçu?¬0
 *?H?÷
0ù1 0 UUS1402U
+International Business Machines Corporation10U VeriSign Trust Network1;09U 2Terms of use at https://www.verisign.com/rpa (c)03100.U 'Class 2 OnSite Individual Subscriber CA1$0"UIBM Certification Authority0
080728000000Z
090728235959Z0?1.0,U
%International Business Machines Corp.1%0#U Mauricio Campiglia Hernandez10
?&??ò,d 0009068691"0  *?H?÷
 mcampigl (at) uy.ibm (dot) com0 [email concealed]?0
 *?H?÷
0?ÐÝÆ%ïìBÓ¨DÒãâ}¼Ç/"c çÖæ:AÓçÏ?ÝjøQß??!ùl¡÷;htáHKZ¾
ß8v
?|zÚáÞû
Áx¯rt*Û?±_T]~õ*?]/7ß¡+º?Wëv?H£ÿêÀÆ<í?|µ? Ô9Î5âªM£?S0?O0 U00 U 0fU_0]0[ Y W?Uhttp://onsitecrl.verisign.com/In
ternationalBusinessMachinesCorpCorporateCIO/LatestCRL0?)U ? 0?0? `?H?øE0?0++https://www.verisign.com/rpa-kr0
×+0ÊÇNotice Text=NOTICE: Private key may be recovered by VeriSign's customer who may be able to decrypt messages you send to certificate holder. Use is subject to terms at https://www.verisign.com/rpa-kr0U#0??Ás°sÕÙ?tgÍñQ41¶,Z0U
?fÎ?ýy»_ó!±?÷îfp0.U'0% #
+?7  mcampigl (at) uy.ibm (dot) com0 [email concealed]U%0++0 `?H?øB 0
 *?H?÷
Ð?=+BÓÚh,¸E¢k¶/)«s·Ûפ¶?Á}Çß# uRß(RyqûÄ(iª~°tÙ·????Û(^@?KÇ#
Íï"??tUß Ô?dÚíñÝQiã§ã[_h=娡ËÛ|è+k¶?½zаðW¯ÔCFAñ?#>E*¿*û0?k0?Ô ??¢sq
éÏq1+dÑçu?¬0
 *?H?÷
0ù1 0 UUS1402U
+International Business Machines Corporation10U VeriSign Trust Network1;09U 2Terms of use at https://www.verisign.com/rpa (c)03100.U 'Class 2 OnSite Individual Subscriber CA1$0"UIBM Certification Authority0
080728000000Z
090728235959Z0?1.0,U
%International Business Machines Corp.1%0#U Mauricio Campiglia Hernandez10
?&??ò,d 0009068691"0  *?H?÷
 mcampigl (at) uy.ibm (dot) com0 [email concealed]?0
 *?H?÷
0?ÐÝÆ%ïìBÓ¨DÒãâ}¼Ç/"c çÖæ:AÓçÏ?ÝjøQß??!ùl¡÷;htáHKZ¾
ß8v
?|zÚáÞû
Áx¯rt*Û?±_T]~õ*?]/7ß¡+º?Wëv?H£ÿêÀÆ<í?|µ? Ô9Î5âªM£?S0?O0 U00 U 0fU_0]0[ Y W?Uhttp://onsitecrl.verisign.com/In
ternationalBusinessMachinesCorpCorporateCIO/LatestCRL0?)U ? 0?0? `?H?øE0?0++https://www.verisign.com/rpa-kr0
×+0ÊÇNotice Text=NOTICE: Private key may be recovered by VeriSign's customer who may be able to decrypt messages you send to certificate holder. Use is subject to terms at https://www.verisign.com/rpa-kr0U#0??Ás°sÕÙ?tgÍñQ41¶,Z0U
?fÎ?ýy»_ó!±?÷îfp0.U'0% #
+?7  mcampigl (at) uy.ibm (dot) com0 [email concealed]U%0++0 `?H?øB 0
 *?H?÷
Ð?=+BÓÚh,¸E¢k¶/)«s·Ûפ¶?Á}Çß# uRß(RyqûÄ(iª~°tÙ·????Û(^@?KÇ#
Íï"??tUß Ô?dÚíñÝQiã§ã[_h=娡ËÛ|è+k¶?½zаðW¯ÔCFAñ?#>E*¿*û1??0?0?0ù1
0 UUS1402U
+International Business Machines Corporation10U VeriSign Trust Network1;09U 2Terms of use at https://www.verisign.com/rpa (c)03100.U 'Class 2 OnSite Individual Subscriber CA1$0"UIBM Certification Authority??¢sqéÏq1+dÑçu?¬0 + ?É0 *?H?÷
 1  *?H?÷
0 *?H?÷
 1
090312182910Z0# *?H?÷
 1lÆêꦯB8?CF\[øZz0C *?H?÷
 16040+0*?H?÷
?0
*?H?÷
0
*?H?÷
(0?# *?H?÷
  1? ?0ù1 0 UUS1402U
+International Business Machines Corporation10U VeriSign Trust Network1;09U 2Terms of use at https://www.verisign.com/rpa (c)03100.U 'Class 2 OnSite Individual Subscriber CA1$0"UIBM Certification Authority??¢sqéÏq1+dÑçu?¬0
 *?H?÷
??k²eÛA4ýy°e) ?Í%ÜÜI5,¡öóö
R¥?t: ?<?Äq«WE`Ϻhëp?ÁaÛÂìé?t!\ÒÒ](DO)¢O,6?wêRØ û È¿+T1ð/Té¥JaªÛ¢ê<äz®??'µ<+?å
uJIIý

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 05:32PM
the ska (k4ncerbero gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:08PM
Bruno G. San Alejo (bgonzalez polar es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:00PM
Crg (crg segfault es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 03:48PM
Alfonso Valdes Carrales (ponchovaldes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus