Mi hanno bucato il server....... - Pagina 4

stefanoxjx · 05-12-2007, 14:05

Quote:

Originariamente inviato da mr-smith

Come ti sei accorto del buco? cosa si deve cercare nei log file? e in quali log file?

Oddio, è passato del tempo e non mi ricordo come mi sono accorto del buco, però di solito verifico il file auth.log e i file .log di apache.
Inoltre quando so di non avere molte connessioni aperte, verifico le connessioni esistenti con netstat -a e quelle che mi sembrano sospette verifico che provenienza hanno.
Dopo che mi hanno bucato il server, ho imparato anche a cercare se nel disco (ma sopratutto su /var/www/) ci sono cartelle o file nascosti come effettivamente avevo riscontrato quellla volta che me lo avevano bucato.
Spero di esserti stato utile.
Ciao.

darkbasic · 05-12-2007, 15:05

Scriptino che controlla ricorsivamente il checksum ogni tot e passa la paura

RaouL_BennetH · 07-12-2007, 16:48

Quote:

Originariamente inviato da darkbasic

Scriptino che controlla ricorsivamente il checksum ogni tot e passa la paura

Un esempietto per newbie aspiranti amministratori di reti casalinghe?

darkbasic · 07-12-2007, 17:16

Codice:

find ./ -type f > ~/files
numrighe=`wc -l ~/files | awk '{ print $1 }'`
riga=0
while [ $riga -lt $numrighe ]; do
        let riga+=1
        file=$(cat ~/files | sed  -n -e ${riga}p)
[...]
done

Questo è un modo molto semplice (ci sono modi più puliti per farlo, ma ho fatto un copia-incolla da un mio script) per trovare tutti i file contenuti in una directory (e relative sottodirectory) e processarli uno alla volta. A questo punto devi fare il checksum md5 e verificare se corrisponde con quello precedentemente backuppato e controllare l'eventuale presenza di nuovi file. Naturalmente ci sono directory dove la presenza di nuovi file può essere concessa, altre dove non lo è. C'è da lavorarci parecchio per fare una cosa fatta bene, ma una volta fatto dormi sonni tranquilli e puoi perfino implementare l'invio tramite sms qualora ci sia qualcosa di sospetto

Willy McBride · 07-12-2007, 18:02

md5deep?

ozeta · 07-12-2007, 18:30

posso chiederti che misure di sicurezza avevi adottato sul server?

stefanoxjx · 07-12-2007, 18:47

Quote:

Originariamente inviato da ozeta

posso chiederti che misure di sicurezza avevi adottato sul server?

Se lo stai chiedendo a me, posso dirti che ho adottato le seguenti misure di sicurezza:

1. Firewall
2. Scansione programmata con chkrootkit e rkhunter
3. Spulciatina almeno una volta la settimana sui file di log

Tutto questo non è servito perchè l'attaccante è entrato tramite una falla di sicurezza che c'era su FlatNuke.
Quindi:

1. Il firewall non è servito perchè comunque è passato per la porta 80 che era aperta per poter raggiungere la pagina web
2. La scansione con chkrootkit e rkhunter non sono servite perchè non ha installato nessun rootkit
3. Rileggendo i vecchi post, mi è venuto in mente che mi aveva insospettito il fatto che in due giorni si era bloccato due volte il servizio apache e rilanciandolo vedevo un comportamento diverso dal solito.
Da li ho iniziato ad approfondire la cosa ed ho scoperto l'inghippo

darkbasic · 07-12-2007, 19:20

Quote:

Originariamente inviato da Willy McBride

md5deep?

Non lo conoscevo, semplifica ulteriormente le cose

ozeta · 07-12-2007, 19:31

Quote:

Originariamente inviato da stefanoxjx

Se lo stai chiedendo a me, posso dirti che ho adottato le seguenti misure di sicurezza:

1. Firewall
2. Scansione programmata con chkrootkit e rkhunter
3. Spulciatina almeno una volta la settimana sui file di log

Tutto questo non è servito perchè l'attaccante è entrato tramite una falla di sicurezza che c'era su FlatNuke.
Quindi:

1. Il firewall non è servito perchè comunque è passato per la porta 80 che era aperta per poter raggiungere la pagina web
2. La scansione con chkrootkit e rkhunter non sono servite perchè non ha installato nessun rootkit
3. Rileggendo i vecchi post, mi è venuto in mente che mi aveva insospettito il fatto che in due giorni si era bloccato due volte il servizio apache e rilanciandolo vedevo un comportamento diverso dal solito.
Da li ho iniziato ad approfondire la cosa ed ho scoperto l'inghippo

per il firewall che soluzione hai adottato? (ti sto chiedendo numi perché avrei intenzioni simili

)

stefanoxjx · 07-12-2007, 19:49

Quote:

Originariamente inviato da ozeta

per il firewall che soluzione hai adottato? (ti sto chiedendo numi perché avrei intenzioni simili

)

iptables

ozeta · 08-12-2007, 02:29

Quote:

Originariamente inviato da stefanoxjx

iptables

ah ok, pensavo qualcosa di più arzigovolato

hai chiuso tutte le porte escluso quelle di tua necessità?

darkbasic · 08-12-2007, 11:02

Quote:

Originariamente inviato da ozeta

hai chiuso tutte le porte escluso quelle di tua necessità?

Sì, è sicuramente l'approccio più sicuro.

stefanoxjx · 09-12-2007, 12:59

Quote:

Originariamente inviato da ozeta

ah ok, pensavo qualcosa di più arzigovolato

Le cose troppo arzigovolate non mi piacciono molto

Quote:

hai chiuso tutte le porte escluso quelle di tua necessità?

Esatto, ho chiuso tutte le porte ed aperto solo quelle indispensabili per far funzionare i servizi che necessitano essere raggiunti da internet.

Poi il problema è sempre il solito, se uno dei servizi ai quali hai aperto la porta presenta una vulnerabilità, sei fregato!!!!!

05-12-2007, 15:05	#62
darkbasic Senior Member Iscritto dal: Dec 2004 Messaggi: 3573	Scriptino che controlla ricorsivamente il checksum ogni tot e passa la paura __________________ Debian amd64 \| Gentoo amd64 \| AMD Athlon64 3800+ X2@2701Mhz vcore 1.49V \| Placing an unpatched Windows computer directly onto the Internet in the hope that it downloads the patches faster than it gets exploited are odds that you wouldn't bet on in Vegas \| e-mail+jabber: darkbasic\|a.t\|linuxsystems\|d.o.t\|it \| www.linuxsystems.it

07-12-2007, 17:16	#64
darkbasic Senior Member Iscritto dal: Dec 2004 Messaggi: 3573	Codice: find ./ -type f > ~/files numrighe=`wc -l ~/files \| awk '{ print $1 }'` riga=0 while [ $riga -lt $numrighe ]; do let riga+=1 file=$(cat ~/files \| sed -n -e ${riga}p) [...] done Questo è un modo molto semplice (ci sono modi più puliti per farlo, ma ho fatto un copia-incolla da un mio script) per trovare tutti i file contenuti in una directory (e relative sottodirectory) e processarli uno alla volta. A questo punto devi fare il checksum md5 e verificare se corrisponde con quello precedentemente backuppato e controllare l'eventuale presenza di nuovi file. Naturalmente ci sono directory dove la presenza di nuovi file può essere concessa, altre dove non lo è. C'è da lavorarci parecchio per fare una cosa fatta bene, ma una volta fatto dormi sonni tranquilli e puoi perfino implementare l'invio tramite sms qualora ci sia qualcosa di sospetto __________________ Debian amd64 \| Gentoo amd64 \| AMD Athlon64 3800+ X2@2701Mhz vcore 1.49V \| Placing an unpatched Windows computer directly onto the Internet in the hope that it downloads the patches faster than it gets exploited are odds that you wouldn't bet on in Vegas \| e-mail+jabber: darkbasic\|a.t\|linuxsystems\|d.o.t\|it \| www.linuxsystems.it

07-12-2007, 18:02	#65
Willy McBride Senior Member Iscritto dal: Jul 2006 Messaggi: 379	md5deep? __________________ So high, so low, so many things to know.

07-12-2007, 18:30	#66
ozeta Senior Member Iscritto dal: Jan 2004 Città: Napoli Messaggi: 2407	posso chiederti che misure di sicurezza avevi adottato sul server? __________________ fufol2

Strumenti
Mostra una versione stampabile Invia questa pagina per email