Re: [Sop.Tec.LinuxPPP] Modo promiscuo

["Carlos Lazcano" <carlos_lazcano en hotmail com>]

La cosa esta aun mas rara...

Despues de reiniciar la maquina todos mis servicios arrancan normalmente 
pero al momento de querer hacer login, nada... ya no puedo entrar a la 
maquina, es decir ya no puedo logearme, sin embargo si puedo leer el correo, 
hacer ftp, compartir archivos e impresoras mediante samba, tampoco puedo 
iniciar una sesion telnet...

Definitivo le voy  a dar cran... recupere mis archivos (todos) y los 
respalde inmediatamente todos estan intactos, el cuate que se haya 
infiltrado en el servidor pues no lo hizo con la intecion de dañar nada, 
aparentemente, pero de todo definitivamente me quedan muchas dudas como se 
introducieron, que me dañaron y sobreo todo esto ultimo como le hicieron 
para no dejarme entrar al sistema por que a como lo veo es un programa o un 
exploit que simula login, en definitiva tendre que hacer una buena auditoria 
de los pocos logs que quedaron y estar mas preparado y pendinete para la 
otra.... gracias.


> From: Omar Herrera <oherrera en prodigy net mx>
> Reply-To: linux en pepe net mx
> To: linux en pepe net mx
> Subject: Re: [Sop.Tec.LinuxPPP] Modo promiscuo
> Date: Fri, 01 Sep 2000 21:39:10 -0500
>
> Carlos Lazcano wrote:
>
> > Al parecer el dia de ayer recibi un ataque. El eth0 entro en modo 
> promiscuo,
> > al menos eso decia la consola, mi red interna no puede tener salida a
> > internet, le doy salida mediante ipchains, pero lo curioso es que una
> > maquina funciona perfectamente. El servidor tambien tiene salida y 
> funcionan
> > todos los servicios, excepto named.
>
> Esto es grave...
>
> >
> > Le doy un estatus y esto es lo que pone:
> >
> > named 8.2.2-P......
> > number of zones allocated:64
> > debug level:0
> > xfers running:0
> > xfers deferred:0
> > soa queries in progress:0
> > query logging id OFFserver is DONE priming
> > server is NOT lading its configuration
> >
> > Tengo entendido que el modo promiscuo es para capturar paquetes enviados
> > dentro de toda la red, pero que esto es riesgoso para la seguridad.
> >
> > ¿Como lo quito? Intento darle ifconfig y me dice que el comando no 
> existe y
> > tampoco puedo ejecutar otros comandos de root, entonces me hace dudar si 
> en
> > verdad soy root, aunque al hacer login aparentemente si soy root.
>
> > No exiten algunos o parte de algunos logs, lastlog, messages,... entre
> > otros, por l,lo que me hace pensar que efectivamente fue un ataque, el
> > ultimo acceso es un telnet de la direccion 151.203.75.99
> >
> > que puedo hacer para reparar el daño y prevenirme para que no me pase de
> > nuevo. Todo comentario es bienvenido
>
> Lo mas seguro es que ya no seas root, 10 a 1 a que tienen control de tu
> máquina, ahora bien, tienes una opción interesante aquí:
>
> ------------- Rastreo de ruta --------------
>
> Query:     151.203.75.99
> Registry:  whois.arin.net
> Results:
> Bell Atlantic (NETBLK-BELL-ATLANTIC1)
>    1880 Campus Commons Drive
>    Reston, VA 20191
>
>    Netname: BELL-ATLANTIC1
>    Netblock: 151.196.0.0 - 151.205.0.0
>    Maintainer: BAIS
>
>    Coordinator:
>       BAIS NOC  (BN-ORG-ARIN)  BANETDC en BELLATLANTIC NET
>       (703)295-4583
>       Fax- (703)264-7473
>
>    Domain System inverse mapping provided by:
>
>    WORLD1.BAWAVE.COM            199.45.32.37
>    WORLD2.BELLATLANTIC.NET      151.196.0.37
>
>    Record last updated on 01-Dec-1998.
>    Database last updated on 1-Sep-2000 17:59:40 EDT.
>
> ------------------------------------------
>
> La red de dónde proviene esa dirección es Bell Atlantic, compañía 
> telefónica
> norteamericana que además es proveedor de internet. Ahora, lo más sencillo 
> y
> seguro es: dale cuello a la máquina y reinstala, pero tienes que tomar una
> decisión: buscar tomar alguna acción contra esta persona(s) o no.
>
> Debes tomar en cuenta que no hay ningún tratado formal para tomar acción 
> pero
> los proveedores de allá tienen más presión por parte de las leyes locales 
> para
> hacerlo. Sin embargo, esto toma tiempo y requiere estar duro y dale por 
> allá;
> como no eres ciudadano de ese país, no creo que el departamento de
> "cybercrime"del FBI quiera hacerte caso, a menos que trabajes para una
> institución gubernamental importante de México (por ejemplo el CISEN).
>
> Para esto puedes meter un sniffer en tu red, en otra máquina, que registre
> direcciónes externas, y registrar todos los acceso (prácticamente dejas a 
> tu
> máquina como carnada), tienes que recolectar pruebas (por ejemplo si dices 
> que
> pudieron entrar por telnet tendrías que registrar toda la sesión, no 
> importa
> que tenga dominio de tu máquina y borre los logs, tu lo estarías 
> registrando
> todo desde la red.
>
> Después pides amablemente al proveedor de este cuate que revise sus logs y
> confirme que ha estado entrando a tu máquina y les mandas tus registros; No 
> hay
> ninguna garantía de que te hagan caso alguno.
>
> La otra opción es reinstalar todo, pero también es importante tener en 
> cuenta
> que de seguro alguno de tus servicios era vulnerable y por ahí entraron 
> (p.e.
> alguna versión antigua de wu-ftpd, sendmail, de apache o de alguno de los
> módulos de apache), vas a tener que revisar la versión que tienes. Además 
> te
> recomiendo que le quites todos los servicios que tienes y no utilizas 
> (incluído
> telnet, si no lo ocupas quítalo, o de menos reemplázalo con ssh, hay un 
> openssh
> para Linux, creo que viene con LinuxPPP).
>
> Sería recomendable realizar una auditoría para determinar por dónde 
> entraron;
> el atacante no se ve que sea muy profesional, si realmente es quien entró 
> por
> donde dices y usó telnet no tiene nada de experto, de seguro buscó una
> vulnerabilidad en tu servidor, bajó un programita para explotarlo y 
> después,
> con un rootkit limpió los logs (pero como ves, simplemente borrar los logs 
> no
> es algo que pase desapercibido tan fácilmente). Pudo haber puesto un 
> "backdoor"
> en alguno de tus puertos o un caballo de troya en algún servicio, esto es 
> más
> difícil de detectar.
>
> Como sea antes de darle cuello (que es lo que te recomiendo, porque una
> auditoría te puede llevar un muy buen rato, además, necesitas alguien que 
> te
> asesore, no es un trabajo trivial...) revisa la lista de usuarios del 
> sistema,
> de seguro se creó una cuenta con privilegios de root.
>
> ?Qué versión de Linux tenías y qué servicios estaban activados (si tienes 
> las
> versiones mejor, a ver si podemos localizar rápidamente la vulnerabilidad 
> que
> te pegó) ?
>
> Saludos
> Omar Herrera
> Consultoría en Seguridad de Sistemas
>
>
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
>  Reglas de la lista en http://pepe.net.mx/reglas.html

_________________________________________________________________________
Get Your Private, Free E-mail from MSN Hotmail at http://www.hotmail.com.

Share information about yourself, create your own public profile at 
http://profiles.msn.com.

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://pepe.net.mx/reglas.html