Forensics in Spanish
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:27PM
kazabe (kazabe gmail com) (1 replies)
El 12 de marzo de 2009 10:34, Pedro Luis García <pedrol (at) delpuerto (dot) com [email concealed]>escribió:

> saludos Kazabe
>
> pudiera ser que esa fuera tu IP publica y que por algun lado generas una
> especie de bucle y lo que hace el firewall o enrutador desde interent a tu
> lan es enviar todas las peticiones al puerto 80 de LAN a internet a tu
> servidor?
>
>
Hola. Estoy completamente seguro de no tener ninguna relacion con esa IP.
Imagino que de alguna forma me han "inyectado" remotamente algun script en
el servidor web (supongo que ese ./s) pero no he podido encontrarlo.
Como puedo seguir el rastro de que o cuando se ejecuta ese script, y como
pudo haber llegado alla?

Por ahora he verificado todos los permisos relacionados con los directorios
publicos de apache, y estoy comenzando a descartar problemas con el php
almacenado en el sitio

saludos y gracias

--
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein
<br><br><div class="gmail_quote">El 12 de marzo de 2009 10:34, Pedro Luis García <span dir="ltr"><<a href="mailto:pedrol (at) delpuerto (dot) com [email concealed]">pedrol (at) delpuerto (dot) com [email concealed]</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
saludos Kazabe<br><br>pudiera ser que esa fuera tu IP publica y que por algun lado generas una especie de bucle y lo que hace el firewall o enrutador desde interent a tu lan es enviar todas las peticiones al puerto 80 de LAN a internet a tu servidor? <br>

<br>
</blockquote></div><br>Hola.  Estoy completamente seguro de no tener ninguna relacion con esa IP.  Imagino que de alguna forma me han "inyectado" remotamente algun script en el servidor web (supongo que ese ./s)  pero no he podido encontrarlo.    Como puedo seguir el rastro de que o cuando se ejecuta ese script, y como pudo haber llegado alla?<br>
<br>Por ahora he verificado todos los permisos relacionados con los directorios publicos de apache, y estoy comenzando a descartar problemas con el php almacenado en el sitio<br><br>saludos y gracias<br clear="all"><br>-- <br>
«Existen dos cosas infinitas: <br>el universo y la estupidez humana... y no estoy muy seguro de la primera» : <br>Albert Einstein<br>

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:56AM
Iñigo Merchán (arp spinlock es)


 

Privacy Statement
Copyright 2010, SecurityFocus