Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com) (12 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 11:07AM
Pablo Vargas (pvr mza gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:56PM
Camilo Uribe (camilo uribe gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:14PM
A. Ramos (aramosf unsec net)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 15 2009 09:41PM
Camilo Uribe (camilo uribe gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 04:58PM
Alfonso Valdes Carrales (ponchovaldes gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 01:39PM
Nicolás Solano (nicolassl33 yahoo com mx)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 12:01AM
Jose Selvi (jselvi pentester es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:26PM
Pablo Vargas (pvr mza gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:19PM
Leonardo Aguado (aguado leonardo gmail com)
RE: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:56PM
Oscar Cardona (oscar aismalibar com) (1 replies)
Buenas,

Espero no decir una tontería pero, yo en los servidores incluido el web, utilizando el iptables, les prohíbo salir a ningún puerto por debajo del 1065 menos algunas excepciones.

Ejemplo de reglas aplicables a un servidor web en puertos por debajo del 1065: solo podrá salir las conexiones al puerto 123 udp al servidor hora.rediris.es

Lo tienes que hacer para cada aplicación que necesites Ej. ftp para la actualización de debian, smtp para enviar correos, dns y poca cosa más. Al final no olvides prohibir cualquier conexión al rango 0-1064. Con esto te evitaras que tu servidor web se conecte a nadie al puerto 80, que no es normal, y te dará tiempo para averiguar pq se cuelga el server.

Por otro lado por lo que comentas tienes una aplicación php que deberías revisar, tiene toda la pinta de ser el problema, Y en algún log del apache tendrías que encontrar la ip que mencionas ( /var/log/apache2/access.log )

Bueno espero que esto te ayude

Òscar

________________________________

De: listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] En nombre de kazabe
Enviado el: miércoles, 11 de marzo de 2009 22:09
Para: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Encontrar rastro de incidencia de seguridad en servidor web

Holas.

Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local.

Ultimamente he notado procesos como el siguiente:

www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s 86.23.114.12 80

Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico.

Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ???????????

como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho.

He tratado de buscar registros relacionados o que contengan esa direccion IP, pero no he encontrado nada.

saludos y gracias por su ayuda.

--
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{color:purple;
text-decoration:underline;}
span.EstiloCorreo17
{mso-style-type:personal-reply;
font-family:Arial;
color:navy;}
@page Section1
{size:595.3pt 841.9pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.Section1
{page:Section1;}
-->
</style>

</head>

<body lang=ES link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Buenas,<o:p></o:p></span></font></p
>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Espero no decir una tontería pero, yo en los
servidores incluido el web, utilizando el iptables, les prohíbo salir a ningún
puerto por debajo del 1065 menos algunas excepciones.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Ejemplo de reglas aplicables a un servidor
web en puertos por debajo del 1065: solo podrá salir las conexiones al puerto 123
udp al servidor hora.rediris.es<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Lo tienes que hacer para cada aplicación que
necesites Ej. ftp para la actualización de debian, smtp para enviar correos, dns
y poca cosa más. Al final no olvides prohibir cualquier conexión al rango
0-1064. Con esto te evitaras que tu servidor web se conecte a nadie al puerto
80, que no es normal, y te dará tiempo para averiguar pq se cuelga el server.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<div>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Por otro lado por lo que comentas tienes
una aplicación php que deberías revisar, tiene toda la pinta de ser el problema,
Y en algún log del apache tendrías que encontrar la ip que mencionas ( /var/log/apache2/access.log
)<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Bueno espero que esto te ayude<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Òscar<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>De:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>
listbounce (at) securityfocus (dot) com [email concealed] [mailto:listbounce (at) securityfocus (dot) com [email concealed]] <b><span
style='font-weight:bold'>En nombre de </span></b>kazabe<br>
<b><span style='font-weight:bold'>Enviado el:</span></b> miércoles, 11 de marzo
de 2009 22:09<br>
<b><span style='font-weight:bold'>Para:</span></b>
forensics-es (at) securityfocus (dot) com [email concealed]<br>
<b><span style='font-weight:bold'>Asunto:</span></b> Encontrar rastro de
incidencia de seguridad en servidor web</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Holas.<br>
 <br>
Ultimamente he notado un problema que me tiene bastante preocupado con un
servidor web.   El servidor solo tiene los paquetes oficiales de
lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
simplemente publica un sitio web en el cual se confirman los pedidos que
realizan a la empresa, usando php y almacenando en mysql local.<br>
 <br>
Ultimamente he notado procesos como el siguiente:<br>
 <br>
www-data   20580   00   00  
815    355   ?   S   
07:16    6:01    ./s   
86.23.114.12  80<br>
 <br>
Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no
funciona, y efectivamente no puedo hacer ni siquiera un ping.  Verifico el
enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.  
Desconecto el servidor web, y el internet vuelve a funcionar.   Mato
ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin
problemas, asi que logicamente el problema es que ese proceso me esta colgando
el trafico.<br>
 <br>
Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny
como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado
lo estrictamente necesario, como pueden haberme metido ese proceso ./s
???????????<br>
 <br>
como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta
donde tengo entendido, eso con linux todavia no rula mucho.  <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>He tratado de buscar registros relacionados o que contengan esa
direccion IP, pero no he encontrado nada.<br>
 <br>
saludos y gracias por su ayuda.<br clear=all>
<br>
-- <br>
«Existen dos cosas infinitas: <br>
el universo y la estupidez humana... y no estoy muy seguro de la primera» : <br>
Albert Einstein<o:p></o:p></span></font></p>

</div>

</div>

</body>

</html>

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:38AM
Jaime Pérez Crespo (jperez blackspiral org)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:42PM
Juan Pablo Macias (jpmacias gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:29PM
Mauricio Campiglia (mcampigl uy ibm com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 05:32PM
the ska (k4ncerbero gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:08PM
Bruno G. San Alejo (bgonzalez polar es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:00PM
Crg (crg segfault es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 03:48PM
Alfonso Valdes Carrales (ponchovaldes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus