Re: [Sop.Tec.LinuxPPP] Modo promiscuo

To: linux en pepe net mx
Subject: Re: [Sop.Tec.LinuxPPP] Modo promiscuo
From: Omar Herrera <oherrera en prodigy net mx>
Date: Fri, 01 Sep 2000 21:39:10 -0500
References: <F64oYAPNXRPmcarcR4Z000001e0@hotmail.com>
Reply-to: linux en pepe net mx
Sender: owner-linux en pepe net mx

Carlos Lazcano wrote:

> Al parecer el dia de ayer recibi un ataque. El eth0 entro en modo promiscuo,
> al menos eso decia la consola, mi red interna no puede tener salida a
> internet, le doy salida mediante ipchains, pero lo curioso es que una
> maquina funciona perfectamente. El servidor tambien tiene salida y funcionan
> todos los servicios, excepto named.

Esto es grave...

>
> Le doy un estatus y esto es lo que pone:
>
> named 8.2.2-P......
> number of zones allocated:64
> debug level:0
> xfers running:0
> xfers deferred:0
> soa queries in progress:0
> query logging id OFFserver is DONE priming
> server is NOT lading its configuration
>
> Tengo entendido que el modo promiscuo es para capturar paquetes enviados
> dentro de toda la red, pero que esto es riesgoso para la seguridad.
>
> ¿Como lo quito? Intento darle ifconfig y me dice que el comando no existe y
> tampoco puedo ejecutar otros comandos de root, entonces me hace dudar si en
> verdad soy root, aunque al hacer login aparentemente si soy root.

> No exiten algunos o parte de algunos logs, lastlog, messages,... entre
> otros, por l,lo que me hace pensar que efectivamente fue un ataque, el
> ultimo acceso es un telnet de la direccion 151.203.75.99
>
> que puedo hacer para reparar el daño y prevenirme para que no me pase de
> nuevo. Todo comentario es bienvenido

Lo mas seguro es que ya no seas root, 10 a 1 a que tienen control de tu
máquina, ahora bien, tienes una opción interesante aquí:

------------- Rastreo de ruta --------------

Query:     151.203.75.99
Registry:  whois.arin.net
Results:
Bell Atlantic (NETBLK-BELL-ATLANTIC1)
   1880 Campus Commons Drive
   Reston, VA 20191

   Netname: BELL-ATLANTIC1
   Netblock: 151.196.0.0 - 151.205.0.0
   Maintainer: BAIS

   Coordinator:
      BAIS NOC  (BN-ORG-ARIN)  BANETDC en BELLATLANTIC NET
      (703)295-4583
      Fax- (703)264-7473

   Domain System inverse mapping provided by:

   WORLD1.BAWAVE.COM            199.45.32.37
   WORLD2.BELLATLANTIC.NET      151.196.0.37

   Record last updated on 01-Dec-1998.
   Database last updated on 1-Sep-2000 17:59:40 EDT.

------------------------------------------

La red de dónde proviene esa dirección es Bell Atlantic, compañía telefónica
norteamericana que además es proveedor de internet. Ahora, lo más sencillo y
seguro es: dale cuello a la máquina y reinstala, pero tienes que tomar una
decisión: buscar tomar alguna acción contra esta persona(s) o no.

Debes tomar en cuenta que no hay ningún tratado formal para tomar acción pero
los proveedores de allá tienen más presión por parte de las leyes locales para
hacerlo. Sin embargo, esto toma tiempo y requiere estar duro y dale por allá;
como no eres ciudadano de ese país, no creo que el departamento de
"cybercrime"del FBI quiera hacerte caso, a menos que trabajes para una
institución gubernamental importante de México (por ejemplo el CISEN).

Para esto puedes meter un sniffer en tu red, en otra máquina, que registre
direcciónes externas, y registrar todos los acceso (prácticamente dejas a tu
máquina como carnada), tienes que recolectar pruebas (por ejemplo si dices que
pudieron entrar por telnet tendrías que registrar toda la sesión, no importa
que tenga dominio de tu máquina y borre los logs, tu lo estarías registrando
todo desde la red.

Después pides amablemente al proveedor de este cuate que revise sus logs y
confirme que ha estado entrando a tu máquina y les mandas tus registros; No hay
ninguna garantía de que te hagan caso alguno.

La otra opción es reinstalar todo, pero también es importante tener en cuenta
que de seguro alguno de tus servicios era vulnerable y por ahí entraron (p.e.
alguna versión antigua de wu-ftpd, sendmail, de apache o de alguno de los
módulos de apache), vas a tener que revisar la versión que tienes. Además te
recomiendo que le quites todos los servicios que tienes y no utilizas (incluído
telnet, si no lo ocupas quítalo, o de menos reemplázalo con ssh, hay un openssh
para Linux, creo que viene con LinuxPPP).

Sería recomendable realizar una auditoría para determinar por dónde entraron;
el atacante no se ve que sea muy profesional, si realmente es quien entró por
donde dices y usó telnet no tiene nada de experto, de seguro buscó una
vulnerabilidad en tu servidor, bajó un programita para explotarlo y después,
con un rootkit limpió los logs (pero como ves, simplemente borrar los logs no
es algo que pase desapercibido tan fácilmente). Pudo haber puesto un "backdoor"
en alguno de tus puertos o un caballo de troya en algún servicio, esto es más
difícil de detectar.

Como sea antes de darle cuello (que es lo que te recomiendo, porque una
auditoría te puede llevar un muy buen rato, además, necesitas alguien que te
asesore, no es un trabajo trivial...) revisa la lista de usuarios del sistema,
de seguro se creó una cuenta con privilegios de root.

?Qué versión de Linux tenías y qué servicios estaban activados (si tienes las
versiones mejor, a ver si podemos localizar rápidamente la vulnerabilidad que
te pegó) ?

Saludos
Omar Herrera
Consultoría en Seguridad de Sistemas

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://pepe.net.mx/reglas.html

Referencias:
- [Sop.Tec.LinuxPPP] Modo promiscuo
  - De: Carlos Lazcano

Previo por Fecha: Re: [Sop.Tec.LinuxPPP] HTTPD
Siguiente por Fecha: [Sop.Tec.LinuxPPP] Pregunta sobre mysql
Previo por Hilo: [Sop.Tec.LinuxPPP] Modo promiscuo
Siguiente por Hilo: Re: [Sop.Tec.LinuxPPP] Modo promiscuo

[Hilos de Discusión] [Fecha] [Tema] [Autor]