El Mon, 13 Dec 2004 17:05:45 +0100 Jaume <[EMAIL PROTECTED]> escribió:
> Hola a todos. > Tengo un servidor de web,correo, etc.. con varias webs alojadas. > Hoy por lam añana me ha entrado un haquer: WhackerZ.... y me ha te ha entrado un craker > indeado todas los index.php con una página suya, reivindicativa, es algo bastante común estos días > etc... Ya he restaurado el servidor (gracias a las copias..:) ), Felicitaciones por los backups!!!!!!! > pero me gustaria saber cómo ha podido entrar. Tengo una debian woody > actualizada al máximo y con el shorewall haciendo de firewall y dirás IpTables haciendo de firewall > capando todos los puertos excepto : > > apache - 80, > postfix - 25, > courier-pop - 110, > ssh - 22, > mysql - 3306 > proftpd - 21 No entiendo porque dejar en mysql al exterior, pero eso no es el punto real. El firewall puede evitar algunas cosas, pero el tráfico "correcto" al servidor web seguro que lo dejará pasar, por más que sea un exploit para el webserver. Yo me inclinaría (por cuestiones que estuve viendo hace poco) por el webserver, y más si tienes WebDav o alguna galería de fotos hecha en PHP (habían varias que no son muy viejas y tienen demasiados fallos graves de seguridad). Por lo cual para estar más tranquilo yo que tu iría viendo de auditar un poco el código PHP que haya, buscar vulnerabilidades ya anunciadas de los programas que tengas instalados (los programas que se relacionen directamente con el webserver). En una menor medida, también fíjate si tienes algún usuario que tenga una contraseña de diccionario. En los últimos meses (casi un año) hay dando vueltas por internet un brutessh. A mi me están dando murra todo el día (hace varias semanas), pero como no tienen ningún usuario por ahora no pueden hacer mucho (por ahora) Otra cosa que pudieron hacer es entrarte por alguna aplicación web mal hecha (no valida bien, etc) y haber capturado el /etc/shadow (o el que sea en tu sistema) y así conseguir las contraseñas con algún programa. > > El muy k... me ha borrado todo el directorio /var/log también. Es algo usual, yo para eso hago que cada 15 minutos se manden por mail los últimos logs a otra máquina, no es lo mejor, pero al menos me quedo con bastante información (esto lo hace el logckech). > > Hay alguna manera de saber cómo ha podido entrar ? Más allá de lo que te mencioné antes, esa máquina reinstalala TODA cuanto antes, pueden haber varios programas "infectados" con algún troyanon, con lo cual volverán a entrar como si estuvieran en su casa. Para verificar esto para la próxima vez puedes fijarte que hay varios "comprobadores de integridad" de los archivos. No recuerdo ahora el nombre, pero sacaba una comprobación de todos los ejecutables del base y luego eso lo podías grabar en un CD o lo que sea, luego cuando querías comprobar todo ponías el CD y corrias la comprobación, estoy casi seguro que esto lo vi en Debian hace un tiempo. Otra medida preventiva interesante podría ser el instalar y configurar bien un IDS como snort, no hace milagros, pero ayuda bastante contra los ataques a servicios "permitidos". -- Atentamente, yo <Matías> Y sin fumar desde (casi) el '1089515700' http://www.nnss.d7.be Let one walk alone, commit no sin, with few wishes, like an elephant in the forest
