... para que no me entren. Ya van 2 dias consecutivos que nos entran en el Servidor Web (2003 Server) y nos modifican una de las webs de un cliente nuestro por un mensaje islamista contra el papa. El servidor entiendo yo que tiene bastante chicha para atacar: IIS, Exchange, SQL Server, Servidor DNS, y alguna cosa que seguro me dejo. Antes teníamos servidor de FTP pero me lo hicieron desactivar después del primer ataque. Yo ya me parecía que no habían atacado por ahí, ya que solo han tocado una web (en los 2 ataques siempre la misma) y no han instalado ni root kit ni nada por el estilo. Le estoy mirando de pasar Nessus para detectar vulnerabilidades.

Que pasos o que temas tendría que mirarme más? Por si acaso, le quiero meter algun sistema que registre las huellas de un posible ataque (otro más). Había pensado en Sygate Firewall. Me aconsejais algun otro?

Ya se que aquí la mayoría de gente busca entrar en un sistema. Yo busco evitar que me entren y saber por donde y como. Muuuuchas gracias! :0= :)

Buenas Malenko.
Aunque soy un principiante ay va mi humilde opinión.
Si es verdad que vuestro servidor como tu dices, tiene bastante "chicha", y yo me decantaría por echar una buena ojeada al ISS $ SQL server. Aún así, te recomiendo una mágnifica herramienta, que examina el equipo en busca de todo tipo del vulnerabilidad, y es REALMENTE BUENO, GFI Languard Network Security Scanner. Me parece que no existe ninguna versión gratuita o de prueba, pero bueno, ay queda.

Sin más repetir que soy un principiante y me encantaría, en el caso de meter la pata (Lo mas seguro) me corrijan

Espero haberte servido de ayuda

Fijate que tengas actualizadas todas las aplicaciones de los servidores web, tanto del IIS como las bases de datos....
Tambien trata de analizar los logs del server, e incluso utilizar alguna tecnica de RIP o algun IDS.
Quiza snort te pudiera servir.

Más datos que pueden ser de interés. Lo curioso es que solo ha cambiado una web, y en ambas ocasiones ha cambiado la misma web, cuando si hubiese accedido "completamente" a todo el servidor podría haber cambiado decenas de ellas entre otras muchas cosas.

Información sobre el ataque...pues ha insertado paginas index.html, index.htm, default.htm, default.html y alguna más de las que suele tener definida por defecto el IIS.

Investigando en la máquina con scanners he visto que tiene habilitado el servicio gopher, que según me avisaban los mismos scanners podia dar paso a ejecución de código (por buffer overflow supongo).

Si quereis que os pase un report hecho con alguna herramienta que me pidais, soy todo vuestro :D El tema es que me gustaria saber que puerta puede haber abierta en la maquina (se me olvidó decir que tiene instalado los servidores de VNC y PC Anywhere).

Quería instalar Sygate firewall pero el problema es que el servidor no lo podemos reiniciar así que opción descartada. Si me recomendais alguna otra herramienta que me permita hacer lo mismo, estaré encantado. De momento le hemos cortado paso (o eso intentaremos) cambiando el nombre de la web inicial (ahora es inicio.html, por decir algo), a ver si el ataque es automatizado o se lo curra algo más :P Sino falla, mañana apartir de la 13:30aprox intentará atacar el servidor. Si hace falta que para ver con que hace el ataque me tenga que quedar sin comer y conectado viendo un sniffer...se hace.

Muchas grácias por vuestra ayuda. A mi me ha tocado aprender "desde el otro lado", pero lo bueno es aprender y mirar de conseguir sistemas más seguros :)

Buenas Malenko.
Aunque soy un principiante ay va mi humilde opinión.
Si es verdad que vuestro servidor como tu dices, tiene bastante "chicha", y yo me decantaría por echar una buena ojeada al ISS $ SQL server. Aún así, te recomiendo una mágnifica herramienta, que examina el equipo en busca de todo tipo del vulnerabilidad, y es REALMENTE BUENO, GFI Languard Network Security Scanner. Me parece que no existe ninguna versión gratuita o de prueba, pero bueno, ay queda.

Sin más repetir que soy un principiante y me encantaría, en el caso de meter la pata (Lo mas seguro) me corrijan

Espero haberte servido de ayuda

Precisamente una de las cosas que más "respeto" me da es el SQL Server, ya que una vez me entraron por ahí (no ahora) y miro de tenerlo lo más actualizado posible. El problema reside en que yo llevo ahi trabajando 2 meses escasos y esa máquina lleva ahí unos años, por lo que no se exactamente si le han ido aplicando todos los parches. De todas maneras, he mirado de pasarle el programa que tu comentas y que te hace un scan de los updates de seguridad que tendría que haber en la máquina, y no me ha saltado ningún aviso.

Fijate que tengas actualizadas todas las aplicaciones de los servidores web, tanto del IIS como las bases de datos....
Tambien trata de analizar los logs del server, e incluso utilizar alguna tecnica de RIP o algun IDS.
Quiza snort te pudiera servir.

Yo diria que esta actualizado pero no pondría la mano en el fuego, tendría que consultarlo mañana para estar seguro del todo. El tema esta en que, como he comentado antes, no podemos reiniciar el servidor, porque es un HP Proliant que esta ya bastante cascadillo y cuando reinicia no es capaz, solo se apaga xD Además, al servidor no tenemos acceso físico, esta en un IDC y para que lo reinicien hemos de llamar, que este una persona autorizada para ello, que vaya a la sala e identifique nuestro servidor y lo arranque (sin contar que tiene que encontrar las llaves, etc.).

Analice los logs del servidor, bueno, el visor de sucesos de windows (si te refieres a otro lugar dime en cual) y principalmente salian errores de exchange.

El tema este lo conozco pero no lo domino (llevo mejor el tema de los virus xD) así que desconozco a que te refieres con el RIP y el IDS. Si me puedes comentar a grandes rasgos la técnica o donde lo puedo consultar... (ahora estoy buscando por google y por el foro ;) ).

Thanks again!

deberias como dice clarinetista actualizar si no lo tienes el windows 2003 y todas las aplicaciones que se esten ejecutando al igual que todos los servicios, supongo que te habras hartado de revisar permisos, aun asi yo les echaria un ojo, y desde luego cambiaria nombres de usuario y contraseñas, sobre todo las ultimas, las cuales periodicamente deberias de cambiarlas utilizando como siempre alfanumericas con mayusculas y minusculas y to eso, en el caso de qeu tengas un router potente echale un vistazo y mira que toda la configuracion este correcta, cortando desde su cortafuegos y las acls cualquier tipo de servicio y puerto que no necesitemos, a menudo los isp abren puertos a saco y si no se controlan pueden ser una via de entrada, si dices qeu solo toca la pag de un cliente lo normal es que no solo pueda tocar la de ese cliente sino mas puesto que ha conseguido un acceso autenticandose en el servidor.
Y por ahora no se me ocurre na mas que poner tambien firewall en el servidor configurandolo exaustivamente, asi y examinando toda la informacion que puedas obtener del ataque y atacante, utilizando programas que generen logs con todos los intentos de intrusion tipo firewall, y a ser posible alguno de pago que veas que lleva todas las reglas de filtrado posibles, y to por to. En principio con esta informacion que das no se decirte mas .Espero servirte de ayuda

http://es.wikipedia.org/wiki/IDS

Lo del RIP me referia a tecnicas forenses (perdona a veces se me va la pinza)
Al comentar uno de tus post arriba me preocupa en exceso el VNC, y apostaria por una vulnerabilidad en ese termino.
Revisa eso tambien

Ya me he bajado el Snort pero las reglas que me permite bajar son bastante antiguas (2005) hay algun lugar de conseguir algunas nuevas?

Lo que te plantea hail no es mala idea tampoco, crearte una red perimetral segura

http://es.wikipedia.org/wiki/DMZ

Tal vez podrias aplicar unas restricciones en el trafico TCP/IP para que solo se establezca el trafico desde la red y no desde fuera.

@hail: Tema usuarios y contraseñas es algo "peliagudo". Ya es algo que he hablado con el que "se supone" es el jefe del equipo informático, y es que es muy triste pero las contraseñas para TODO son las mismas, son "largas" pero no imposibles, ya que son de 8 caracteres (menos las del servicio ftp que son muyyyyy largas-->64 o más). Tened en cuenta que la empresa empezó como algo pequeño y ha ido creciendo poco a poco hasta convertirse en la que es actualmente, y ya se sabe, a base de "parches" y por pereza no se han puesto nunca a revisar su (¿nula?) "política de seguridad".



en el caso de qeu tengas un router potente echale un vistazo y mira que toda la configuracion este correcta, cortando desde su cortafuegos y las acls cualquier tipo de servicio y puerto que no necesitemos, a menudo los isp abren puertos a saco y si no se controlan pueden ser una via de entrada, si dices qeu solo toca la pag de un cliente lo normal es que no solo pueda tocar la de ese cliente sino mas puesto que ha conseguido un acceso autenticandose en el servidor.
Y por ahora no se me ocurre na mas que poner tambien firewall en el servidor configurandolo exaustivamente, asi y examinando toda la informacion que puedas obtener del ataque y atacante, utilizando programas que generen logs con todos los intentos de intrusion tipo firewall, y a ser posible alguno de pago que veas que lleva todas las reglas de filtrado posibles, y to por to. En principio con esta informacion que das no se decirte mas .Espero servirte de ayuda

Este tema si que esta muy bien llevado y hay firewalls a punta pala. Tenemos uno en la entrada a nuestra red que nos provee el ISP que pagamos para que nos corte todo menos los puertos "estandard" y el del VNC que tenemos cambiado (no va por el 5800/5900). Luego tenemos un PIX de Cisco protegiendo las máquinas sensibles. El tema puertos abiertos no nos preocupa, estan abiertos los justos. El problema es lo que hacen por ellos lo que si me preocupa... Si te hace falta más información pidemela, que yo tampoco se exactamente cuala te hace falta


Lo que te plantea hail no es mala idea tampoco, crearte una red perimetral segura

http://es.wikipedia.org/wiki/DMZ

Tal vez podrias aplicar unas restricciones en el trafico TCP/IP para que solo se establezca el trafico desde la red y no desde fuera.


El tema de la estructura de la red esta bien montada, eso (en principio) no lo dudaría. La zona desmilitarizada (DMZ, esa si que la conozco xD) esta creada y separada del resto por un PIX, además dentro de poco la red la vamos a ampliar y a comprar otro PIX para controlar las nuevas máquinas.

una vez que el atacante haya identificado los dispositivos de enrutamiento de tu red, crea paquetes Routing Information Protocol (RIP) para engañar al router, asi consigue que el router le envie paquetes a una red que no es la correcta, osea no autorizada.
Ademas y pa colmo RIPv1 no tiene seguridad para la autenticacion para actualizar sus tablas de enrutamiento

Puedes probar a desactivar las capacidades RIPv1 del router, la v2 y Open Shortest Path First tienen un mecanismo muy rudimentario de autenticacion de contraseñas pero pueden limitar la capacidad de un atacante para efectuar un engaño RIP.
Cuando te sea posible o si te lo es deberias de desactivar todos los paquetes RIP (PORT 521 TCP/UDP) de los routers frontera, tambien miraria las contraseñas SNMP, y muchas mas cosas porque habiendo un ataque no sabes hasta tener mas informacion del mismo si entro asi o asao.
Ya asi de primeras si qeu no se me ocurre mas, me fumao muchos y estaba aqui liao currando jejejeje espero servir de ayuda

Las contraseñas es algo importantisimo, lo mismo es alguien que trabajo alli y si no las cambian sabe como joder, hay que cambiar contraseñas a saco y llevar en ese sentido una politica segura, es decir segun la intensidad de los ataques recibidos y la entrada y salida de personal en la empresa habra que establecer una politica de cambio de contraseñas que de seguridad a la empresa, tu me entiendes.


Por cierto clarinetista enhorabuena ya eres moderador jejejeje yo zoy medio sip jajajajaja. Algun dia.............. :0=

http://es.wikipedia.org/wiki/IDS

Lo del RIP me referia a tecnicas forenses (perdona a veces se me va la pinza)
Al comentar uno de tus post arriba me preocupa en exceso el VNC, y apostaria por una vulnerabilidad en ese termino.
Revisa eso tambien

Grácias, me estaba volviendo loco buscando información sobre RIP y solo me salían cosas de muertos xD El tema RIP...bueno, sino recuerdo mal hay una distro de Linux especializada para estos temas (tipo Live CD pero con las herramientas necesarias). Investigaré que herramientas tengo en Windows que me permitan hacer eso. Lo del VNC será lo primero que cambiaré mañana (lo puedo hacer ahora, pero por si acaso mi jefe también intenta acceder remotamente y ve que no puede, no se vaya a dar un susto xD). Si veo que mañana han insertado otra vez las páginas hackeadas eliminaré esta opción.

Me miraré el Snort y si encuentro algún IDS más (grácias por la info, tengo que mirarme tantas cosas y tan rápido que no doy abasto).

El tema de los ataques RIP me lo miraré mañana con un esquema de la red por delante. Una pregunta tonta: el diseño de la red posibilita o inhabilita el ataque por RIP? Es decir, cambiando la configuración de la red se podría evitar? Le hecharemos un vistazo al tema de Internet pero ahora mismo lo único que se es que el router de la oficina (que no el del IDC) es un cisco, y poco más.

En cuanto a temas de seguridad de contraseñas, para empezar cada usuario tendría que tener la suya propia, con su fecha de caducidad, etc. Pero aquí todos son amigos (literalmente) que se han juntado para crear la empresa y lo único que han hecho ha sido pillar gente, no les ha hecho falta hechar a nadie, así que esa parte la descartaría (que no la debilidad de los passwords).

Por cierto, desactivando el RIP del router se "pierde" algo de funcionalidad? O simplemente la opción de poder redireccionar mediante soft por donde van los paquetes?

a ver me explico, lo primero coje el visio y crea en un diagrama de red toda la red y la estructura de la empresa, incluyendo hasta el ultimo dispositivo de la misma, asi conseguiras tener una vision mas clara de lo que tienes, a partir de ahi en los comentarios que puedes poner en el diagrama, al lado de cada dispositivo, pon todo lo que puedas sobre su configuracion de manera reducida para tener todavia una vista mas amplia de la red, el tema rip te recomendaria o desactivarlos o poner RIPv2, si lo desactivas y no pierdes ninguna funcion es que no estais haciendo nada con ello, es que no se como es la configuracion de tu red y no se decirte mas, aun asi prueba todo esto que te decimos y ve acotando fallos, todo tiene que empezarse a mirar globalmente e ir descartando, por lo que me dices el atacante sabe lo qeu hace y yo haria esto que te decimos.

Sip, lo de visio es lo segundo que haré mañana (lo primero es un presupuesto para un cliente :S ). El tema RIP yo diría que no lo usamos para nada pero no lo puedo confirmar. Muchas grácias por vuestros consejos, a ver que tal va mañana xD

siempre es un placer ayudar a quien no va a joder a los demas tio, asi da gusto. En lo que pueda ayudarte y supongo qeu puedo decir en lo que podamos aqui estamos, sigue contandonos y a ver si acotamos el fallo, o cuando menos lo solucionamos en alguno de los pasos. Saludos.

Mi idea era estar mañana con un sniffer (ethreal) desde la 13 esperando a que intente algo. Es buena idea o mejor tirar por otra cosa?

Doy grácias principalmente porque, aunque llevo poco tiempo en este foro, se ve que la mayoría de gente solo busca joder al prójimo, y en lugar de aprender a bajo nivel como funciona una técnica o herramienta, quieren un programa que dandole a un botón les haga todo :S

es buena idea pero ponlo todo el dia y asi puedes analizar al final del dia los momentos mas vulnerables ya sea por servicios usados que utilizan puertos para su comunicacion, o servicios al exterior o lo que sea que pueda utilizar un puerto, asi tendras una vision de como es un dia en tu curro y como te digo analizar, Un saludo ayer me quede sopa

Buenos dias!

Ahora mismo me he bajado el analizador de paquetes. Voy a mirar como funciona en otra máquina y luego la paso a la máquina "victima". Descartado el ataque RIP ya que no hay router, el acceso a Internet es "directo" ya que la máquina esta conectada directamente al proveedor de Internet, así que no hay router (por nuestra parte) .

He encontrado un fichero que dejó el hacker y que por lo que he podido averiguar esta en turco. Conoceis algún soft traductor de turco a inglés o castellano? Quizás sea solo una firma o quizás nos diga algo...

"uyarýdir sitenizde acýk var acýkLarýnýzý kapatýnýz

MUHAMM3D ;)"

dios sabe tio jajajajaja turco!!!!!!!!!!!!!!! vale pos yo de ti empezaria hablando con el isp a ver que puertos tiene abiertos, a partir de ahi ya podremos seguir acotando. Un saludo

vamos a ir poco a poco y asi vemos todo y vamos cerrando vias de entrada y descartandolas.purcierto clarinetista tu opinion nos interesa jejejeje, que siempre es bueno mirar lo que se haya podido olvidar por un lao o por otro .................................... Por cierto eso no es turco.:0=

Nos han dao bien pal pelo. He puesto el sniffer a las 13 y ahora al volver de comer miro y ya nos la habían hackeado a las 12 ... ¬¬

lo que pasa es que como ya habiamos hecho un "apaño" su página no aparece y solo se ve la original (la buena, pa entendernos).

En cuanto al tema puertos, esto es lo que me saca NMAP:

Starting Nmap 4.11 ( http://www.insecure.org/nmap ) at 2006-09-28 16:00 Hora de
verano romance
Interesting ports on xxxxxxxxxx.XXXXX.local (192.168.3.250):
Not shown: 1651 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
42/tcp open nameserver
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
110/tcp open pop3
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
389/tcp open ldap
443/tcp open https
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
691/tcp open resvc
993/tcp open imaps
995/tcp open pop3s
1433/tcp open ms-sql-s
1723/tcp open pptp
2301/tcp open compaqdiag
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
5631/tcp open pcanywheredata
6001/tcp open X11:1
6002/tcp open X11:2
6004/tcp open X11:4
8080/tcp open http-proxy
49400/tcp open compaqdiag

Nmap finished: 1 IP address (1 host up) scanned in 5.828 seconds

------------

Los puertos 600x que pone como servicio X son del Wireshark. Con esos puertos hay muchas maneras de atacar a la maquina para colarte en wwwroot y copiar los ficheros (sin llegar a escalar privilegios)? No me interesa tanto la cantidad de variaciones de un mismo exploit como el tipo de exploit en si, ya sabes, para ver primero de acotar el puerto que usa y luego ya mirar porque por ese... Mañana pondré el sniffer desde que entre a currar, a ver si no se escapa el cabroncete xD

vamos a ir poco a poco y asi vemos todo y vamos cerrando vias de entrada y descartandolas.purcierto clarinetista tu opinion nos interesa jejejeje, que siempre es bueno mirar lo que se haya podido olvidar por un lao o por otro .................................... Por cierto eso no es turco.:0=

Entonces que es? Que pone? :eek:

He visto un par de cosas "sospechosas", le hecho un ojo con más detalle y ya os cuento ;)

por lo que veo asi es como vamos a tener que ir andando, puerto a puerto de los que tienes abiertos tendras que mirar que servicios ofrecen, si no son necesarios habra que capar esos puertos, y si estan en uso controlarlos y configurar todos los servicios aplicando todas las restricciones posibles, de todas yo acabaria rapido con esto poniendo un buen router entre tu isp y tu servidor, asi tardas menos y te comes menos la cabeza seguro.

Bueno, os cuento mis sospechas y vosotros que sabeis más me deciis si es posible y como.


Como ya comenté, en la misma máquina hay servidor de Exchange y IIS. En la web que han hackeado hay dos directorios de exchange:

NOMBRE RUTA DE ACCESO
- Exchange \\.\BackOfficeStorage\nombreweb.com\MBX
- ExchWeb C:\Archivos de Programa\Exchsrvr\ExchWeb

El primero es el mailbox (donde se almacenan los correos) y no hay ningun fichero físicamente. En cambio en el segundo aparece el siguiente contenido:

NOMBRE RUTA DE ACCESO
bin C:\Archivos de programa\Exchsrvr\ExchWeb\bin
6.5.6944.0
6.5.7226.0
controls
help
...


Eso quiere decir que hay una especie de CGI del exchange en la web atacada. Si atacan por ahí llegarían a tener permisos del usuario web de esa página y poder escribir en ella, no? Voy muy perdido y esto es imposible? Si se puede...con que técnica? Pop3 overflow o algo parecido?

He hecho un "dir *.htm /Q" para ver el usuario con que se habían creado y ...bingo! IUSR_USUARIOSRV !!! Esto me hace pensar que puede ser por algún exploit a través de la web outlook de la página. El tema esta en que ahora voy a mirar de actualizar el Exchange a ver si así se capa la entrada pero he visto que el usuario IUSR_USUARIOSRV esta en el grupo BUILTIN\Invitados (correcto supongo) y BUILTIN\Usuarios de Dominio. En que grupos ha de estar como mínimo?

Por cierto, comprobado que entra por esta vulnerabilidad:

http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-029-IT.mspx

pues a por el, ahora tienes dos opciones o denunciarlo a tu isp o quitar el usuario que se ha creado y poner un router medio bueno, yo de ti haria las dos cosas jejejeje aunqeu si no te ha jodido nada????? bueno eso queda de tu mano pero pon un router perimetral tio, que ademas si son baratitos joer y te evitas problemas, pon un router y configuralo al pelo y olvidate de ese tio que si lo haces como dios manda ya le costaria bastante mas entrar. saludos.

Busca en usuarios y grupos que es donde estan todos los usuarios y suprime del active directory todos los usuarios standar por decirlo asi como los invitados y demas, deja unicamente los usuarios que realmente pertenecen al dominio, piensa que incluso cuando instalas el IIS crea usuarios predefinidos para el servicio en cuestion,mira en el active directory en los usuarios y suprime los que no sean necesarios.

Purcierto se me osvidaba deberias de cambiar contraseñas aunqeu solo sea esta vez jajajajajaja tio es lo mejor y lo mas comodo con el tiempo, piensa que evitas cositas asi controlando los permisos y usuarios asociados a los mismos, en principio es un porculo pero cuando lo tienes to listo ya no es na mas que cambiar pass que son cinco minutos. Saludos y qeu guay que al final hayas conseguido encontrar y acotar el fallo pero con todos los puertos que tienes abiertos no sera el unico.

Ya te dije que tenia que ser un ataque a nivel de aplicacion :).
En el articulo qeu hail prepara para la eZine le comente una cosa que tal vez a ti te pudiese servir.
En los routers Cisco, cuando tu creas una serie de listas de acceso para crear unas restricciones, se utiliza una norma que es [b]established[b/], la cual solo permite conversaciones TCP que se han generado en la zona que recibe el trafico.
Para que no entendamos, el primer paso de la comunicacion (saludo a tres vias, etc...)
tiene que darlo un ordenador dentro de la propia web.
Asi protegerias tambien tecnicas spoofing si es que las utilizan.
Como ya te dije antes, actualiza todas las aplicaciones a sus ultimas versiones y estate al dia de parches que puedan surgir de todo.
¿Hojeaste el VNC como te dije?

Primero de todo, muchas grácias a los dos por vuestra ayuda y por todo lo que he ido aprendiendo mirando las cosas que me ibais comentando. Primero una cosa en general que va para ambos y luego por partes xD

Nosotros tenemos el servidor en el mismo ISP y la conexión es directa, por eso allí no hace falta un router para el tema de conexión a internet, no nos dan un RJ11 sino un RJ45 (e incluso fibra directamente). Por eso comentaba que ataques RIP no nos podían hacer porque nosotros nos llega la señal ADSL directa, y filtrabamos por el firewall.

@hail: veo dificil el tema de quejarse al ISP ya que si tu tienes que te dejen abiertos X puertos y te atacan por los que tienes abiertos... es cosa tuya que no los protejas. Y en cuanto a poner algo de por medio esta el firewall, pero si tu le dices que lo que viene por el 80 lo deje pasar y luego va y te la meten por ahí...vamos, que el firewall no le puedes filtrar el contenido sino los puertos. El tema usuarios y sus permisos se supone que estaba gestionado por una empresa que nos lo configuró y (creo) que nos lo mantiene (por un pastón, por supuesto... ¬¬), se supone que mañana lo iban a mirar pero para entonces ya el tema esta arreglado (espero :D ). Lo de las contraseñas lo vamos a tener que mirar, eso seguro, pero hoy he tenido el tiempo justo como para averiguar por donde (el jefe mismo se ha quedado sorprendido por como he conseguido las pistas y lo he descubierto) y parchearlo.

@clarinetista: lo del router cisco, pese a que no lo tenemos allí, usamos uno para la oficina, y una de las cosas que me gustaría aprender (si sabeis algun sitio donde pueda encontrar algun tuto DECENTE) sería configurar y administrar un router cisco y un firewall cisco PIX, ya que es lo que usamos en el curro y veo que más vale que aprenda o nos pueden dar bien xD

Lo del TCP se a que te refieres, al hand shacking cuando se envian los primeros comandos para configurar la ventana y esas cosas, no? Lo que no me queda claro es donde es recomendable hacer esto, si fuera o dentro de la web (o sea, pasado o no pasado el router, no?). Deduzco que lo ideal es hacerlo dentro (no?) y para ello esta esa opción... ummm, es muy interesante. Si puedes hacerme el favor de indicarme algo más de información sobre eso, me harias un favor bien gordo pues son detallitos que parecen tontos cuando te dan el router, ya que piensas que es conectar y poco más, y se puede configurar más de lo que parece. mola mola... :)

En cuanto a la seguridad actual, pongo la mano en el fuego a que el servidor tiene más agujeros que un colador, porque hay algunos service pack que no estan instalados, etc. El tema esta en que hay muuuuchos servicios que han de tener puertos abiertos y estan en una misma máquina, pero en breve (quizás dias o un par de semanas) nos pondrán dos servidores nuevos que se repartirán la faena (esto ya estaba planeado antes de todo esto) así que ante un ataque habrá menos puertos que mirar por máquina xD

Lo del VNC lo tenemos que comentar (yo con el jefe) pero seguro que es algo reacio a cambiar tema contraseñas. Leche, si hasta los móviles de la empresa emplean una abreviación de las contraseñas! (todos los móviles los mismos PIN!!!!). Dice que así es más fácil al resto acordarse de como acceder y tal ¬¬ En fin, que además del soft hay que "actualizar" el concepto de seguridad que tienen.

Pese a la putada de que te entren en un PC he sacado muchas cosas positivas ya que he aprendido mucho, ahora espero seeguir aprendiendo pero sin que tengan que volver a entrar xD

P.D.: Fijo que mañana vuelve a entrar por otro lado xD

sip asi es si pones established hace lo que dice clarinetista y no solo puedes hacerlo en los cisco si tienes algun teldat como el mio el atlas tambien puedes sip, y en el manual tambien explicaba otra manera de hacerlo si, pero vamos que como dice clarinetista de lujo, yo en el manual estoy intentando hacerlo de la manera mas pura posible, me gustaria hacer algo con clase joer jejejejeje bueno pos eso qeu de lujo todo y me ha encantado poder colaborar en resolver tu problema, gracias a ti.


purcierto se me olvidaba gracias por mencionar mi trabajo en la ezine, me siento muy alagado y super agusto trabajando en un proyecto comun con gente como vosotros,(ademas soy el unico de nivel medio jejejeje) asi da gusto, y no es peloteo todo lo que digo siempre, entre otras porque no hay por que, y sobre todo porque no soy ese tipo de tio, pero es como lo siento y lo digo, encantado por todo.

hola Malenko, mira soy muy muy muy muy nuevo en esto, pero despues de un rato de leer, mirar y analizar este post se me ha ocurrido algo, si te sirve aqui esta, puede ser una terrible tontada y si no lo podrasprobar, mira, desde mi humildisimo punto de vista windows por mas parchiado que lo tengas no es seguro, siempre tiene un backdoor o algun ahujero por donde entrarle, mi opinion era si, ya que la maquina la conectan directamente al servidor de internet, si no se les complicaba mucho de poner, antes de esta maquina, un pc firwall, yo he usado el mandrake firewall y me ha dado muy buen resultado, de ahi por un servidor samba lo comunicas con la red windows que tengas en todas las demas pc's, esto es lo mas seguro que se me ocurre pero como dige antes, tene en cuenta que soy un simple novato.
espero que te sirva de algo el comentario.
surte!!!!
bye :0=

Como he dicho, la conexión a internet nos la proveen directamente, pero eso no quiere decir que la usemos tal cual, previamente es filtrada por 2 firewall PIX diferentes ;)

Esta bien pensado, djinn941, tranquilo, pero como te dice Malenko ellos ya tienen un firewall fisico :)
Bien Malenko, veo que me entiendes y que estas puesto en el tema, o sea que subiere un escalon.
El tema del established se ideo para evitar ataques de ip spoofing, es decir un atacante puede hacer creer a tu server que esta dentro de tu red y quiere acceder a la misma. ES la mejor forma de evitar este ataque es esos routers, ya que el falseo de la ip se realiza en el momento del ensamblado de la trama, (directamente en Capa 2, practicamente a nivel de bits).
Por otra parte lo del VNC me refiero a que "vuestro amigo" (que con la chapa que os esta dando seguro que ya le llamas Roque o Juanjo :D ) haya podido aprovechar alguna vulnerabilidad en dicha aplicacion,y me explico un poco mejor.
Cuando tu intentas atacar un Servidor web para realizar cualquier Defacement, por ejemplo, tienes dos niveles o tipos de ataque:


Ataque a nivel de servidor: En este tipo de ataques, son mucho menos frecuentes, ya que requiere un nivel de conocimientos mucho mas avanzados, y no estan a la altura de cualquier script kiddie. Ese consiste en atacar directamente al Sisetma Operativo que corre en dicho servidor, aprovechando un bug o vulnerabilidad del mismo. Puede comprometer gravemente la seguridad del equipo
Ataque a nivel de aplicación: Este es mucho mas comodo y sencillo de realizar, ya que ataca solamente a alguna aplicacion que esta funcionando en el PC comprometido, como puede ser un Servidor Apache, un CMS como phph-nuke...



Bien, tu problema es que te estas centrando demasiado en el primer tipo, y segun lo que comentas en post anteriores, creo que se trata de un ataque a nivel 2.
Trata de establecer una seguridad perimetral primero y pensar como si tu fueses el atacante, asi te ayudara a comprender mejor como implementar unas politicas de seguridad mas firmes y eficaces.
Un saludo

Primero, aclarar que esta mañana a primera hora, y revisando mejor los logs de todo el servidor hemos visto que todos los ataques han sido por deface, haciendo un simple PUT index.htm, ya que al crear las aplicaciones en IIS habian dado permiso de escritura en el directorio... ¬¬

Vamos, pa correrles a collejas. Yo ya estaba dando por supuesto de que al crear una aplicación vigilaban esos detalles,pero en su momento fueron a saco y les ha pasado factura no pararse a mirar los detalles... En cuanto a lo que me comentas, yo suponía que era un ataque a una aplicación y de forma genérica, ya que si realmente se hubiese querido meter en nuestro servidor lo hubiese hecho (lo dicho, parece un colador), y estaba casi seguro que venía por el servicio de IIS o ExchangeWeb, pero no encontraba gran cosa, además de que había muchos puertos abiertos.

Lo bueno es que el martes ya nos traen los servidores nuevos y ya en ellos nos miraremos que la seguridad esté ajustada al dedillo. Es más, esta vez yo estaré presente en la instalación junto con los técnicos que la realizaran (en esta ocasión he entrado a currar hace un mes y claro, no sabía en que estado estaban las cosas) y me encargaré de machacarles en todo lo que pueda. Así pues, este fin de semana me quiero mirar muy bien el tema de seguridad en IIS, Exchange y también lo que comentas en VNC, pero claro, algo tenemos que tener para administrarlo remotamente y si la última versión de VNC ya viene con algun agujero... Supongo que es cuestión de investigar. Por cierto, sabes alguno de administración de remota que este mejor? Nosotros principalmente usamos VNC y en algunas máquinas adicionalmente PC Anywhere.

Sino me equivoco (lo digo de memoria) la capa 2 de OSI es precisamente nivel de bit, no? el 1 es nivel físico, no? Hace mucho tiempo que dejé el mundillo este xD

No hombre, el Nivel 2 es el de enlace de datos,y el 1 el Fisico, como tu bien dices, pero la PDU del nivel 2 son las tramas y las del 1 son los bits :)
El VNC esta bien, pero parcheado al milimetro.
Bueno, lo mas importante es que lleves la politica de seguridad correcta y que te hagan caso en todo.
Sino, te volveran loco :)
Un saludo

eso es exactamente lo que le decia en los post anteriores, implementa politicas de seguridad fiables, suprime todos los usuarios que se crean en la implementacion de servicios tales como el IIS, tenlo todo actualizado al pelo para parchear los maximos agujeros posible, y asi y con una caña de pescar to se lleva, al principio reconocemos todos que es un follon, pero luego esta todo configurado y acotar fallas de seguridad o de aplicaciones he incluso del mismo sistema operativo, siempre es mas facil si esta todo controlado y bien estructurado. Saludos y encantado de leeros.

Por cierto, de las variaciones de VNC cual es más segura? Creo que la nuestra es la Ultr@VNC v.1.0.1 (del 2005 ¬¬) y por lo visto ya hay nueva versión. Habrá que hecharle un ojo. Por cierto, el tema de los updates de windows (Windows Update) actualizará también al Exchange?

He encontrado un fichero que dejó el hacker y que por lo que he podido averiguar esta en turco. Conoceis algún soft traductor de turco a inglés o castellano? Quizás sea solo una firma o quizás nos diga algo...

"uyarýdir sitenizde acýk var acýkLarýnýzý kapatýnýz

MUHAMM3D ;)"


Malenko, no sé si ya lo tienes, pero he conseguido la traducción del archivo que te dejó el hacker. Un par de días intentándolo, pero parece que sí es turco (o una variante), y la traducción aproximada es: esto es una advertencia, hay algo abierto en tu sitio web, por favor, cierra todo lo que esté abierto
Por lo tanto, parece un aviso y no con malas intenciones.

P.D. Si esa es la traducción, muchas gracias a Lorena, de otro foro, por la ayuda

Qué bueno, gatupin :)

Está claro que tienes un ángel protector, porque MUHAMM3D podría haber hecho lo que hubiese querido ;)

Salu2

Yo estaba seguro que era turco, además el hacker es de Ankara :D

Hombre, puestos a avisar como mínimo en inglés que en turco pocos lo van a poder entender. Muchas grácias por la tradución, no era algo importante pero si teniamos curiosidad para saber que ponía.

En cuanto a lo de que podía haber hecho lo que quería, simplemente intentó (con éxito) cambiar las webs (con un simple PUT), pero si quisiera podría (y aún puede) llegar a crear una shell ya que no hay casi nada parcheado. Ya se, ya se...pero tengo que intentar cambiar la mentalidad y las manias que han cogido a lo largo de 5 años y es difícil hacerlo de golpe :S

pos al final resulto ser una variante del turco, yo dije que no era porque en varios traductores me decia que no era turco, bueno el caso es que el tipo no ha querido joderte, aunque eso ya se sabia sino ya hubieras visto lo que podia y no hacer.

De nada, pa eso estamos ;)
ya que no puedo ayudar en otra cosa porque me superáis, por lo menos lo he intentado en la traducción. Suerte Malenko y ya sabes, a quitar manías