Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com) (12 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 11:07AM
Pablo Vargas (pvr mza gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:56PM
Camilo Uribe (camilo uribe gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:14PM
A. Ramos (aramosf unsec net)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 15 2009 09:41PM
Camilo Uribe (camilo uribe gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 04:58PM
Alfonso Valdes Carrales (ponchovaldes gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 01:39PM
Nicolás Solano (nicolassl33 yahoo com mx)

hola.

primero aclaremos algunas cosas.

el proceso 's' se ejecuta con el usuario www-data, por tal motivo aun no tienen root(espero)y por consiguiente debe de estar en los directorios en donde tiene permiso el usuarios www-data (su directorio home o los tmp), usando php y mysql lo mas seguro es que entren por tu aplicacion, ya sea con una inyeccion o un exploit para un php mal parchado.

En cualquier caso, deberias de generar un servidor de respaldo usando los archivos de algun backup (tienes uno, cierto??) y revisar si no han sido modificados (una tablita del hash(md5 o sha) de tus archivos es mas que suficiente), este servidor debe de estar parchado y como dicen en correos anteriores, debes hacer hardening del sistema operativo.

No debes de poner el servidor afectado en produccion hasta saber realmente que paso mediante un analisis forense, es la unica forma de saber con mas presicion que paso, ya que al colocarlo en produccion, el intruso podria tener acceso mediante una backdoor y borrar los logs u otros archivos, por tal motivo te sugiero te apoyes en personal calificado para hacer el analisis forense.

Entre las cosas importantes del hardening del SO se encuentran cerrar puertos que no usas mediante la desinstalacion de paquetes, la configuracion de un firewall de host de filtrado de paquetes y otras cosas, en otras palabras checa como hacer un host bastion.

Como parte de la red deberias segmentarla con el uso de DMZ, esto permite enviar los logs a un equipo confiable, checar con un sniffer el trafico a tus servidores, realizar analisis de vulnerabilidades desde la LAN o desde Internet usando nessus y colocar un IDS en las entradas.

una ultima sugerencia es checar tu codigo, existen herramientas que buscan posibles fallas para inyeccion.

suerte.

> > www-data   20580   00   00   815    355  
> ?   S    07:16    6:01    ./s
> > 86.23.114.12  80
> >

__________________________________________________
Correo Yahoo!
Espacio para todos tus mensajes, antivirus y antispam ¡gratis!
Regístrate ya - http://correo.yahoo.com.mx/

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 12:01AM
Jose Selvi (jselvi pentester es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:26PM
Pablo Vargas (pvr mza gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:19PM
Leonardo Aguado (aguado leonardo gmail com)
RE: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:56PM
Oscar Cardona (oscar aismalibar com) (1 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:38AM
Jaime Pérez Crespo (jperez blackspiral org)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:42PM
Juan Pablo Macias (jpmacias gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:29PM
Mauricio Campiglia (mcampigl uy ibm com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 05:32PM
the ska (k4ncerbero gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:08PM
Bruno G. San Alejo (bgonzalez polar es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:00PM
Crg (crg segfault es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 03:48PM
Alfonso Valdes Carrales (ponchovaldes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus