Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com) (12 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 11:07AM
Pablo Vargas (pvr mza gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:56PM
Camilo Uribe (camilo uribe gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 18 2009 04:14PM
A. Ramos (aramosf unsec net)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 15 2009 09:41PM
Camilo Uribe (camilo uribe gmail com) (2 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 04:58PM
Alfonso Valdes Carrales (ponchovaldes gmail com)
baja el chkrootkit y prueba si tienes algun rootkit corriendo en tu
maquina.Este mencionado programa te ayuda a indentificar si tienes algún
tipo de rookit instalado que regularmente se utiliza entre los ScripKiddies;
este tipo de ataque son un conjunto de herramientas para hacer stealth en la
maquina comprometida y hacer sus fechorias en tu caso creo suponer que esta
corriendo un DoS.

El 15 de marzo de 2009 15:41, Camilo Uribe <camilo.uribe (at) gmail (dot) com [email concealed]>escribió:

> 2009/3/11 kazabe <kazabe (at) gmail (dot) com [email concealed]>:
> > Holas.
> >
> > Ultimamente he notado un problema que me tiene bastante preocupado con un
> > servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> > solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> > simplemente publica un sitio web en el cual se confirman los pedidos que
> > realizan a la empresa, usando php y almacenando en mysql local.
> >
> > Ultimamente he notado procesos como el siguiente:
> >
> > www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> > 86.23.114.12 80
> >
> > Cuando ese proceso esta activo, me llaman de gerencia porque el internet
> ya
> > no funciona, y efectivamente no puedo hacer ni siquiera un ping.
> Verifico
> > el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> > exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.
> Desconecto
> > el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> > conecto nuevamente el servidor, y todo sigue funcionando sin problemas,
> asi
> > que logicamente el problema es que ese proceso me esta colgando el
> trafico.
> >
> > Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> > Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> > instalado lo estrictamente necesario, como pueden haberme metido ese
> proceso
> > ./s ???????????
> >
> > como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> > hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> La maquina esta comprometida, lo mejor es hacer una copia de seguridad
> para posterior analisis y reinstalar el sistema desde 0.
>
> Un excelente lugar con consejos para estas ocasiones es Practical UNIX
> and Internet security chapter 22 Discovering a Break-in
>
>
> http://books.google.com/books?id=t0IExLP-MPMC&printsec=frontcover&hl=es#
PPA683,M1
>
> > He tratado de buscar registros relacionados o que contengan esa direccion
> > IP, pero no he encontrado nada.
> >
> > saludos y gracias por su ayuda.
> >
> > --
> > «Existen dos cosas infinitas:
> > el universo y la estupidez humana... y no estoy muy seguro de la primera»
> :
> > Albert Einstein
> >
>
> --
> ¿ Ya probaste linux ?
> http://www.obtengalinux.org/
>

--
Alfonso Valdés
Networks Management
ACS - NWSC "Expertise in Action"
Dallas Phone (214)-370-6890 , ext: 1044772
MEX Phone +52-81-80426000 , ext 1044772
Mobile +52-1-81-12556467
alfonso.valdes (at) acs-inc (dot) com [email concealed]
alfonso.valdes (at) nwdc (dot) net [email concealed]
baja el chkrootkit y prueba si tienes algun rootkit corriendo en tu maquina.Este mencionado programa te ayuda a indentificar si tienes algún tipo de rookit instalado que regularmente se utiliza entre los ScripKiddies; este tipo de ataque son un conjunto de herramientas para hacer stealth en la maquina comprometida y hacer sus fechorias en tu caso creo suponer que esta corriendo un DoS.<br>
<br><br><br><div class="gmail_quote">El 15 de marzo de 2009 15:41, Camilo Uribe <span dir="ltr"><<a href="mailto:camilo.uribe (at) gmail (dot) com [email concealed]">camilo.uribe (at) gmail (dot) com [email concealed]</a>></spa
n> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">2009/3/11 kazabe <<a href="mailto:kazabe (at) gmail (dot) com [email concealed]">kazabe (at) gmail (dot) com [email concealed]</a>>:<br>
</div><div class="im">> Holas.<br>
><br>
> Ultimamente he notado un problema que me tiene bastante preocupado con un<br>
> servidor web.   El servidor solo tiene los paquetes oficiales de lenny,<br>
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y<br>
> simplemente publica un sitio web en el cual se confirman los pedidos que<br>
> realizan a la empresa, usando php y almacenando en mysql local.<br>
><br>
> Ultimamente he notado procesos como el siguiente:<br>
><br>
> www-data   20580   00   00   815    355   ?   S    07:16    6:01    ./s<br>
> 86.23.114.12  80<br>
><br>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya<br>
> no funciona, y efectivamente no puedo hacer ni siquiera un ping.  Verifico<br>
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico<br>
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.   Desconecto<br>
> el servidor web, y el internet vuelve a funcionar.   Mato ese proceso,<br>
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi<br>
> que logicamente el problema es que ese proceso me esta colgando el trafico.<br>
><br>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de<br>
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo<br>
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso<br>
> ./s ???????????<br>
><br>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero<br>
> hasta donde tengo entendido, eso con linux todavia no rula mucho.<br>
<br>
</div>La maquina esta comprometida, lo mejor es hacer una copia de seguridad<br>
para posterior analisis y reinstalar el sistema desde 0.<br>
<br>
Un excelente lugar con consejos para estas ocasiones es Practical UNIX<br>
and Internet security chapter 22 Discovering a Break-in<br>
<br>
<a href="http://books.google.com/books?id=t0IExLP-MPMC&printsec=frontco
ver&hl=es#PPA683,M1" target="_blank">http://books.google.com/books?id=t0IExLP-MPMC&prints
ec=frontcover&hl=es#PPA683,M1</a><br>
<div><div></div><div class="h5"><br>
> He tratado de buscar registros relacionados o que contengan esa direccion<br>
> IP, pero no he encontrado nada.<br>
><br>
> saludos y gracias por su ayuda.<br>
><br>
> --<br>
> «Existen dos cosas infinitas:<br>
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :<br>
> Albert Einstein<br>
><br>
<br>
</div></div><font color="#888888">--<br>
¿ Ya probaste linux ?<br>
<a href="http://www.obtengalinux.org/" target="_blank">http://www.obtengalinux.org/</a><br>
</font></blockquote></div><br><br clear="all"><br>-- <br>Alfonso Valdés<br>Networks Management<br>ACS - NWSC "Expertise in Action"<br>Dallas Phone (214)-370-6890 , ext: 1044772<br>MEX Phone +52-81-80426000 , ext 1044772<br>
Mobile +52-1-81-12556467<br><a href="mailto:alfonso.valdes (at) acs-inc (dot) com [email concealed]">alfonso.valdes (at) acs-inc (dot) com [email concealed]</a><
br><a href="mailto:alfonso.valdes (at) nwdc (dot) net [email concealed]">alfonso.valdes (at) nwdc (dot) net [email concealed]</a><br> <br><br>

[ reply ]
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 17 2009 01:39PM
Nicolás Solano (nicolassl33 yahoo com mx)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 12:01AM
Jose Selvi (jselvi pentester es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:26PM
Pablo Vargas (pvr mza gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 08:19PM
Leonardo Aguado (aguado leonardo gmail com)
RE: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:56PM
Oscar Cardona (oscar aismalibar com) (1 replies)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 13 2009 09:38AM
Jaime Pérez Crespo (jperez blackspiral org)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:42PM
Juan Pablo Macias (jpmacias gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 06:29PM
Mauricio Campiglia (mcampigl uy ibm com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 05:32PM
the ska (k4ncerbero gmail com)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:08PM
Bruno G. San Alejo (bgonzalez polar es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 04:00PM
Crg (crg segfault es)
Re: Encontrar rastro de incidencia de seguridad en servidor web Mar 12 2009 03:48PM
Alfonso Valdes Carrales (ponchovaldes gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus