Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 al 20 de 27

Log Acceso en RedHat

  1. #1 Log Acceso en RedHat 
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Buenas,

    hace poco hemos detectado que un servidor Linux de la empresa fue asaltado. Lo que hayan hecho en el servidor no nos preocupa mucho porque era de pruebas y solo tenia instalado software pero no se le daba uso aún.

    Principalmente queremos saber como han entrado y quería mirar primero los logs de acceso, pero no los encuentro. Puede que sea /var/log/auth.log??? Es que no lo veo y no se si lo han borrado o en Red Hat se trata de otro fichero.

    Ahora voy a tostar una Iso del F.I.R.E. para ver que puedo sacar de información. Me recomendais alguna otra distribución para analisis forense? Y algún manual de paso?

    Muchas grácias!

    P.D.: De momento lo que he podido ver es que creo un usuario e instaló dos rootkits SHV4 y SHV5.
    Citar  
     

  2. #2  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Aún no, ahora vamos a por el Servidor y así poder estudiarlo con más calma. De momento no puedo verlo porque no tengo acceso como root.
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por Malenko Ver mensaje
    De momento no puedo verlo porque no tengo acceso como root.
    No debe ser problema arrancando con una distribución alternativa.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  5. #5  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    De momento no hay manera FIRE no es capaz de montar el disco, y he probado con una simple Ubuntu, pero me pilla los permisos que tienen ya los ficheros y no hay manera de que pueda escribir en el disco :S
    Citar  
     

  6. #6  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    Prueba con alguna de las basadas en Auditor Live, como Backtrack.
    Tienen herramientas forenses y automount con permisos de escritura.
    Citar  
     

  7. #7  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Muchas gracias, ahora mismo pongo a bajar Backtrack a ver que tal
    Citar  
     

  8. #8  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    con el liveCD de ubuntu, haz sudo su; y conseguis el root, y listo, no tendés más problemas con los permisos.

    y pero para qué necesitas la escritura del disco ? con solo:
    #cat ~/.bash_history

    Salutt
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  9. #9  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    En el .bash_history no encuentro nada...porque no hay .bash_history. En el usuario root no habia nada anormal, y en el usuario nuevo no existe el fichero. Algun fichero más que pueda examinar para ver desde que IP se han logado externamente?
    Citar  
     

  10. #10  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Por cierto, he intentado revisar /usr/var/syslog, pero tampoco existe U__U

    No se si puede que los hayan borrado... alguna utilidad para recuperar ficheros borrados en ext3? Con la backtrack podría hacer algo? Solo la he podido utilizar un ratín y no me ha dado tiempo a ver todo, y hasta el miercoles no puedo volver a probar, que mañana es festivo. Y sino encuentro nada reinstalaremos todo y machacaremos los ficheros, pero querría resolver antes mis dudas.

    Muchas gracias por adelantado chic@s!
    Citar  
     

  11. #11  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    En principio pueden recuperarse ficheros con tecnicas forenses aunque hayan sido borrados, mis compañeros te ayudaran mejor que yo en este aspecto.
    Supongo que al ser un server de pruebas no habra ni mirroring, ni backup de logs que pueda servirte asi que tendras que hacerlo a pedal.
    ¿Tenias algun HIDS o NIDS que pueda darte alguna informacion relevante?
    Esperando que te sirva, te posteo un par de papers relacionados, de como usar tecnicas forenses en servidores Red Hat.

    https://www.redhat.com/docs/manuals/...se-invest.html

    http://his.sourceforge.net/honeynet/papers/forensics/

    http://www.rediris.es/cert/ped/reto/14/informe-tecnico.pdf

    http://www.sans.org/reading_room/whitepapers/forensics/

    http://www.loquefaltaba.com/documentacion/forense/index.html
    Citar  
     

  12. #12  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Bueno, he revisado la máquina a conciencia y he encontrado lo que supongo es un cliente IRC que enviaba los datos de la máquina a una cuenta de IRC.

    La parte buena, que he podido averiguar datos como la IP de origen, mediante los ficheros de log:

    /var/log/messages (de cuando cometia errores al poner el password del usuario que se creó)

    /var/log/secure

    Ahora hemos pedido al DataCenter donde tenemos el servidor que nos pase más datos de esa IP sabiendo el dia y hora en que ha estado accediendo.
    Citar  
     

  13. #13  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    Suerte !! y contanos todo lo que has descubierto
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  14. #14  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Bueno, de momento ya he hecho un backup de todos los logs y ficheros que me puedan ser de utilidad. Ahora vamos a restaurar la máquina mientras esperamos respuesta del DataCenter para saber porque parte de la red ha podido entrar, ya que tenemos varios Ciscos y miramos de dejar abierto lo mínimo. Pero ya se sabe...solo hace falta que haya una pequeña fisura para que entren por ahí :P
    Citar  
     

  15. #15  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Lo mejor es conservar el estado completo de la máquina. Es decir una copia completa del sistema. Si bien los datos, que pueden resultar una cantidad importante de información prescindible para el análisis forense, podrían eliminarse para reducir el tamaño de la imagen.

    El intruso (si es que no fue un código difundido y se trata de un ataque dirigido) pudo esconder binarios u otros archivos en cualquier parte del sistema, no estando disponibles éstos para su análisis, en caso de descubrirse que alguna vez debieron existir, si se elimina el sistema y se conserva sólo una parte ínfima del mismo (los logs).

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  16. #16  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    No solo he copiado todos los logs "de interés", sino los ficheros de usuarios y passwords (me gustaria saber que contraseña puso en sus dos usuarios, por si da mas pistas) y también he copiado todos los ficheros que he visto que ha añadido o modificado.

    Lo que más me preocupado no es que haya entrado en el servidor, que si es importante, sino como ha llegado a entrar en nuestra red.

    El motivo es que el servidor era prácticamente el único de toda la red que no tiene Ip pública, y tiene por delante un cisco 3700. La otra opción de entrar a la red implica pasar por un firewall del DataCenter y luego por un Cisco ASA (creo que se llama así...).
    Citar  
     

  17. #17  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por Malenko Ver mensaje
    Lo que más me preocupado no es que haya entrado en el servidor, que si es importante, sino como ha llegado a entrar en nuestra red.
    La mayoría de los ataques son desde dentro ... y es que desde dentro los vectores de ataque se multiplican exponencialmente con el número de servicios ofrecidos en la red.

    Cita Iniciado por Malenko Ver mensaje
    El motivo es que el servidor era prácticamente el único de toda la red que no tiene Ip pública, y tiene por delante un cisco 3700. La otra opción de entrar a la red implica pasar por un firewall del DataCenter y luego por un Cisco ASA (creo que se llama así...).
    Cualquiera con un poquito de control puede determinar fácilmente las reglas de los cortafuegos para luego impostar lo necesario para hacerse pasar por quien quiera que tiene todos los privilegios necesarios para acceder. Eso sin contar con que no haya mecanismos de seguridad mínimamente personalizados o fuera de lo predeterminado. Si sólo hay una autenticación en texto plano para el router, o éste sólo observa las IPs o las MACs, resulta muy trivial acceder al router.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  18. #18  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Bueno, tengo más información. Servicios de los servidores que están accesibles al exterior: WEB, FTP, SMTP, POP3 y DNS.

    El Cisco 3700 no estoy seguro, pero el ASA seguro que no tiene las reglas por defecto. No solemos dejar los puertos abiertos a no ser que impida el funcionamiento de alguna aplicación importante.

    Lo que si he visto, es otra puerta de "acceso". Se trata de un Cisco PIX 515, desde el que se conseguiría una IP dentro del segmento de red atacada, y por lo que me ha comentado un compañero, es el que más "peligro" tiene.

    Alguna cosa que pueda hacer para comprobar la seguridad de ese PIX? Alguna herramienta? Probé el CGE contra los otros cisco, pero no me sacó nada.
    Citar  
     

  19. #19  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Mensajes
    200
    Descargas
    1
    Uploads
    0
    Bueno, ya he encontrado la puerta de acceso, el PIX que tenía varios agujeros de seguridad. Yo sin esmerarme mucho he encontrado 2, así que una persona que se haya tomado su tiempo... ahora vamos a pedir que nos actualicen el firmware y ver que todo esté correctamente.
    Citar  
     

  20. #20  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    Posiblemente sea alguna de las ultimas vulnerabilidades que le encontraron al Cisco IOS.
    Ademas de lo habitual para que te manden el firm, comentales lo que sucedio para que se tomen mas en serio los problemas de seguridad (si cabe).
    Citar  
     

Temas similares

  1. Problema: montar cdrom en redhat 9.0
    Por fideos en el foro LINUX - MAC - OTROS
    Respuestas: 4
    Último mensaje: 16-03-2005, 17:10
  2. Python.... en redhat?
    Por MARDUK en el foro LINUX - MAC - OTROS
    Respuestas: 1
    Último mensaje: 15-05-2004, 13:58
  3. Necesito Ayuda.....redhat Linux!!!!!
    Por MARDUK en el foro LINUX - MAC - OTROS
    Respuestas: 12
    Último mensaje: 21-04-2004, 23:34
  4. donde puedo descargar el redhat o el mandrake
    Por tamagochi** en el foro LINUX - MAC - OTROS
    Respuestas: 3
    Último mensaje: 09-07-2002, 02:50
  5. Redhat 7.3 beta
    Por misTakE en el foro HACK HiSPANO
    Respuestas: 0
    Último mensaje: 28-03-2002, 07:18

Marcadores

Marcadores