Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com) (12 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 11:07AM
Pablo Vargas (pvr mza gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:56PM
Camilo Uribe (camilo uribe gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:14PM
A. Ramos (aramosf unsec net)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 15 2009 09:41PM
Camilo Uribe (camilo uribe gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 04:58PM
Alfonso Valdes Carrales (ponchovaldes gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 01:39PM
Nicolás Solano (nicolassl33 yahoo com mx)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 12:01AM
Jose Selvi (jselvi pentester es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:26PM
Pablo Vargas (pvr mza gmail com)
2009/3/11 kazabe <kazabe (at) gmail (dot) com [email concealed]>:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web.   El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data   20580   00   00   815    355   ?   S    07:16    6:01    ./s
> 86.23.114.12  80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping.  Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.   Desconecto
> el servidor web, y el internet vuelve a funcionar.   Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>

Hola Kazabe: vamos por parte... si definimos a un virus como una
aplicación que se instala y se ejecuta sin consentimiento del
usuario... en linux si hay mucho de esos !! lo que pasa es que los
puritanos separan mucho lo que son virus a los keylogger, exploid y
los otros malwares.

En tu caso, por mas que tengas bien configurado tu servidor, no sirve
de nada si la aplicación PHP que estas corriendo no esta bien
programa. Y la muestra esta en que el proceso corre con el usuario del
apache y no con el root (te hackearon la aplicación web, pero no el
servidor entero).

Vamos a lo que te importa. Medida de contención y medida de corrección.

Contención:
1) para empezar podrías aplicar una regla de IPTABLES en tu servidor
web para que no se puedan mandar trafico al IP que mencionas, con eso
no te vas a quedar sin conectividad. (man IPTABLES)
2) con el comando "lsoft" puedes ver que archivos tiene abierto un
proceso, con ello puede ver donde esta ese script que se llama "./s"
(man lsoft)
3) puedes revisar en los log de tu servidor apache en busca de
peticiones que no sean comunes o algo extrañas, y bloquear esas
peticiones o los IP que hacen esas peticiones.

Corrección:
1) Analizar bien la aplicacion web que estas usando. Si es una
aplicacion bajada de la web, actualizarla. Si es una aplicación
propia... echarle la culpa al programador :)
2) Tener desactivado el register_global y desactivar los include() con
url en el PHP
3) Instalar el modulo de apache mod_secure que ayuda a filtrar los
ataques a las aplicaciones web
4) definir reglas de iptables para que el servidor apache solo pueda
mandar trafico del tipo TCP y a puertos altos (del 1024 para arriba).
Es muy probable que esa aplicación que te instalaron en tu servidor
este haciendo un ataque de denegación de servicio por UDP.

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:19PM
Leonardo Aguado (aguado leonardo gmail com)
RE: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:56PM
Oscar Cardona (oscar aismalibar com) (1 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:38AM
Jaime Pérez Crespo (jperez blackspiral org)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:42PM
Juan Pablo Macias (jpmacias gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:29PM
Mauricio Campiglia (mcampigl uy ibm com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 05:32PM
the ska (k4ncerbero gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:08PM
Bruno G. San Alejo (bgonzalez polar es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:00PM
Crg (crg segfault es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 03:48PM
Alfonso Valdes Carrales (ponchovaldes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus