Forensics in Spanish
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:27PM
kazabe (kazabe gmail com) (1 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:56AM
Iñigo Merchán (arp spinlock es)
Hola

En el primer post comentabas que ves algo similar a esto:

www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
86.23.114.12 80

si tienes problemas para localizar el ejecutable, puedes ejecutar
periodicamente un script similar a este

pid=`ps aux | grep ./s$ | awk '{print $2}'`; cwd=`ls -l /proc/$pid/cwd | awk
'{print $10}'`; echo "CWD=$cwd";

que lo que hace es obtener el directorio de trabajo directamente de la
información que nos provee el kernel.

Suerte con esto

On Thu, Mar 12, 2009 at 9:27 PM, kazabe <kazabe (at) gmail (dot) com [email concealed]> wrote:

>
>
> El 12 de marzo de 2009 10:34, Pedro Luis García <pedrol (at) delpuerto (dot) com [email concealed]>escribió:
>
>> saludos Kazabe
>>
>> pudiera ser que esa fuera tu IP publica y que por algun lado generas una
>> especie de bucle y lo que hace el firewall o enrutador desde interent a tu
>> lan es enviar todas las peticiones al puerto 80 de LAN a internet a tu
>> servidor?
>>
>>
> Hola. Estoy completamente seguro de no tener ninguna relacion con esa IP.
> Imagino que de alguna forma me han "inyectado" remotamente algun script en
> el servidor web (supongo que ese ./s) pero no he podido encontrarlo.
> Como puedo seguir el rastro de que o cuando se ejecuta ese script, y como
> pudo haber llegado alla?
>
> Por ahora he verificado todos los permisos relacionados con los directorios
> publicos de apache, y estoy comenzando a descartar problemas con el php
> almacenado en el sitio
>
> saludos y gracias
>
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>
> Albert Einstein
>
Hola<br><br>En el primer post comentabas que ves algo similar a esto:<br><br>www-data   20580   00   00   815    355   ?   S    07:16    6:01    ./s    86.23.114.12  80<br><br>si tienes problemas para localizar el ejecutable, puedes ejecutar periodicamente un script similar a este<br>
<br>pid=`ps aux | grep ./s$ | awk '{print $2}'`; cwd=`ls -l /proc/$pid/cwd | awk '{print $10}'`; echo "CWD=$cwd";<br><br>que lo que hace es obtener el directorio de trabajo directamente de la información que nos provee el kernel.<br>
<br><br>Suerte con esto<br><br><div class="gmail_quote">On Thu, Mar 12, 2009 at 9:27 PM, kazabe <span dir="ltr"><<a href="mailto:kazabe (at) gmail (dot) com [email concealed]">kazabe (at) gmail (dot) com [email concealed]</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br><br><div class="gmail_quote">El 12 de marzo de 2009 10:34, Pedro Luis García <span dir="ltr"><<a href="mailto:pedrol (at) delpuerto (dot) com [email concealed]" target="_blank">pedrol (at) delpuerto (dot) com [email concealed]</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

saludos Kazabe<br><br>pudiera ser que esa fuera tu IP publica y que por algun lado generas una especie de bucle y lo que hace el firewall o enrutador desde interent a tu lan es enviar todas las peticiones al puerto 80 de LAN a internet a tu servidor? <br>

<br>
</blockquote></div><br>Hola.  Estoy completamente seguro de no tener ninguna relacion con esa IP.  Imagino que de alguna forma me han "inyectado" remotamente algun script en el servidor web (supongo que ese ./s)  pero no he podido encontrarlo.    Como puedo seguir el rastro de que o cuando se ejecuta ese script, y como pudo haber llegado alla?<br>

<br>Por ahora he verificado todos los permisos relacionados con los directorios publicos de apache, y estoy comenzando a descartar problemas con el php almacenado en el sitio<br><br>saludos y gracias<div><div></div><div class="h5">
<br clear="all"><br>-- <br>
«Existen dos cosas infinitas: <br>el universo y la estupidez humana... y no estoy muy seguro de la primera» : <br>Albert Einstein<br>
</div></div></blockquote></div><br>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus