[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Jorge Luis Vázquez Aguirre wrote: > Hola! > Qué firewall tienes instalado? > Checas siempre el /var/log/messages? > El password de root se lo puedes cambiar de nuevo a tus máquinas si en el > prompt de LILO le dices linux-single. > Utiliza el tcp-wrappers, no utilices el mismo password en distintas > máquinas. Verifica que tengas instalada la encriptación MD5 y que estés > usando shadow passwd. > Espero te sirva. > Saludos > Jorge Luis. > > On Tue, 14 Mar 2000, Sergio Vergara wrote: > > > Saludos lista > > Al parecer estan accesando a mi red en estos momentos desde internet a > > mi red interna. > > Esta persona por alguna razon se sabe el login y passwd de esta maquina > > y entro a otros equipos y a cambiado ya el passwd de root de 6 equipos > > > > la maquina se llama beaker (208.209.255.165) > > > > Me pueden decir que pasos puedo seguir? > > ya perdi el password de 6 equipos no quiero que se pase a mas > > > > AUXILIO > > sevega Bueno, ya es un poco tarde, pero aún así detallo aquí unos pasos sencillos de análisis "post-mortem": a) Identificar posibles formas en las que la máquina quedó comprometida Esto es escencial, puede ser un trabajo muy pesado en ocasiones, pero si no se hace simplemente te expones a que te vuelva a pasar nuevamente. Los puntos a evaluar aquí son: * Controles de acceso - Como dijo Jorge Vázquez, es muy recomendable que revises si tienes instalado shadow passwords: en un principio, en Unix varios datos del usuario y el password se almacenaba (y aún se hace así en varias versiones de diferentes variantes de Unix) en /etc/passwd (en forma de valor hash...) el archivo tiene permisos de lectura para todos, esto es porque algunas aplicaciones obtienen información de los usuarios de ese archivo. El riesgo es que algún usuario del sistema copie el archivo y después trate de obtener el password por fuerza bruta o por ataque de diccionario. con shadow passwords se crea un archivo /etc/shadow que contiene los passwords (el archivo es de sólo lectura para root), los passwords se eliminande /etc/passwd. * Servicios vulnerables - Varias versiones anteriores de servicios como http (generalmente en apache en Linux), sendmail y wu-ftpd contienen vulnerabilidades conocidas que son explotadas para obtener acceso de root, siempre hay que procurar tener la versión más actualizada de los servicios. Un excelente sitio de seguridad donde publican vulnerabilidades de servicios y aplicaciones de todo tipo de plataformas es: http://www.securityfocus.com, sobre todo, en el foro de Bugtraq publican muchas de las vulnerabilidades encontradas más recientemente. * Políticas de seguridad inexistentes o muy ligeras - La mayoría de los sitios no cuenta con políticas de seguridad, y no es que solo los bancos o empresas muy grandes lo requieran, muchas veces no es + que sentido común. Por ejemplo, en una empresa donde se utiliza telnet/ftp y cuya red no está switcheada se corre un riesgo muy alto de que algún usuario obtenga los passwords de otros poniendo un sniffer, si el acceso es a una máquina crítica, lo recomendable es que se haga por protocolo seguro (como ssh); OJO: ¡entre el 70% y el 80% de los ataques informáticos que sufren las organizaciones son causados por personas que laboran dentro de la misma organización!. Cosas como: prohibir el acceso remoto de root, el envío de passwords por mail a los usuarios, el bloqueo de servicios innecesarios (p.e., no es sano instalar juegos de red en una máquina de producción), respaldos, firmas de programas y archivos críticos, etc... . Importante: que sean claras, que sean concisas, que estén por escrito y que todos los usuarios de servicios informáticos las conozcan. b) Identificar recursos y servicios comprometidos Es una tarea muy difícil si no se poseen registros de firmas y respaldos; es muy recomendable obtener las firmas de comandos críticos (p.e. ls), puede ser con md5 (Linux lo tiene). En este caso, la cuenta de root significa que toda la máquina está comprometida, lo recomendable es reinstalar todos los archivos de fuentes confiables (p.e. rpm desde el cd de distribución de Linux) Normalmente, una vez que está comprometida una máquina, alguien que sabe lo que hace (del lado obscuro) va a atratar de asegurar un acceso permanente en la máquina, para ello se suelen utilizar caballos de troya, por ejemplo un demonio de ftp alterado que contenga un backdoor, de esta forma, no importa cuántas veces cambies el password de root, tendrán una forma de obtener accesos (por eso es importante asegurar que se cuenta con versiones confiables de archivos, hay varias herramientas que llevan una base de datos con firmas y con las modificaciones hechas a archivos críticos, p.e. Tripwire). Para otros backdoors más simples (un servidor escuchando en un puerto cualquiera) puedes usar un "port scanner" como nmap para revisar que solo están escuchando los puertos que deben, o puedes utilizar netstat (que viene con cualqueir Unix). c) Recuperación Para recuperación de un sistema (p.e. de un backup o reemplazando archivos de servicios por versiones conocidas) es importantísimo no usar ningún servicio del sistema comprometido; p.e., no puedes garantizar que el comando md5 está íntegro en un sistema comprometido, se pudo haber sustituído con otro que simplemente imprimiera los valores de una tabla para ciertos archivos que se modificaron de forma que no aparecieran como alterados. La recuperación debes iniciarla desde un disco de rescate (los creas a partir de las imágenes del CD de Linux), o bien, arrancando desde el mismo CD. El esquema es muy básico, puedes encontrar varios checklists más completos para UNIX en sistios de seguridad en internet que puedes aplicar perfectamente a Linux, por ejemplo, en http://www.cert.org Ojalá y sirva. Atentamente Omar Herrera ----------------------- Consultoría en Segurida de Sistemas Insys S.A. de C.V. (http://www.insys-corp.com.mx) omarh en insys-corp com mx --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://pepe.net.mx/reglas.html