Buenas,

hace poco hemos detectado que un servidor Linux de la empresa fue asaltado. Lo que hayan hecho en el servidor no nos preocupa mucho porque era de pruebas y solo tenia instalado software pero no se le daba uso aún.

Principalmente queremos saber como han entrado y quería mirar primero los logs de acceso, pero no los encuentro. Puede que sea /var/log/auth.log??? Es que no lo veo y no se si lo han borrado o en Red Hat se trata de otro fichero.

Ahora voy a tostar una Iso del F.I.R.E. para ver que puedo sacar de información. Me recomendais alguna otra distribución para analisis forense? Y algún manual de paso? :D

Muchas grácias!

P.D.: De momento lo que he podido ver es que creo un usuario e instaló dos rootkits SHV4 y SHV5.

http://www.livecdlist.com/?pick=All&showonly=Forensics&sort=&sm=1

has visto el .bash_histroy ?

Saludos :)

Aún no, ahora vamos a por el Servidor y así poder estudiarlo con más calma. De momento no puedo verlo porque no tengo acceso como root.

De momento no puedo verlo porque no tengo acceso como root.

No debe ser problema arrancando con una distribución alternativa.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

De momento no hay manera FIRE no es capaz de montar el disco, y he probado con una simple Ubuntu, pero me pilla los permisos que tienen ya los ficheros y no hay manera de que pueda escribir en el disco :S

Prueba con alguna de las basadas en Auditor Live, como Backtrack.
Tienen herramientas forenses y automount con permisos de escritura.

Muchas gracias, ahora mismo pongo a bajar Backtrack a ver que tal

con el liveCD de ubuntu, haz sudo su; y conseguis el root, y listo, no tendés más problemas con los permisos.

y pero para qué necesitas la escritura del disco ? con solo:
#cat ~/.bash_history

Salutt

En el .bash_history no encuentro nada...porque no hay .bash_history. En el usuario root no habia nada anormal, y en el usuario nuevo no existe el fichero. Algun fichero más que pueda examinar para ver desde que IP se han logado externamente?

Por cierto, he intentado revisar /usr/var/syslog, pero tampoco existe U__U

No se si puede que los hayan borrado... alguna utilidad para recuperar ficheros borrados en ext3? Con la backtrack podría hacer algo? Solo la he podido utilizar un ratín y no me ha dado tiempo a ver todo, y hasta el miercoles no puedo volver a probar, que mañana es festivo. Y sino encuentro nada reinstalaremos todo y machacaremos los ficheros, pero querría resolver antes mis dudas.

Muchas gracias por adelantado chic@s!

En principio pueden recuperarse ficheros con tecnicas forenses aunque hayan sido borrados, mis compañeros te ayudaran mejor que yo en este aspecto.
Supongo que al ser un server de pruebas no habra ni mirroring, ni backup de logs que pueda servirte asi que tendras que hacerlo a pedal.
¿Tenias algun HIDS o NIDS que pueda darte alguna informacion relevante?
Esperando que te sirva, te posteo un par de papers relacionados, de como usar tecnicas forenses en servidores Red Hat.

https://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/es/security-guide/s1-response-invest.html

http://his.sourceforge.net/honeynet/papers/forensics/

http://www.rediris.es/cert/ped/reto/14/informe-tecnico.pdf

http://www.sans.org/reading_room/whitepapers/forensics/

http://www.loquefaltaba.com/documentacion/forense/index.html

Bueno, he revisado la máquina a conciencia y he encontrado lo que supongo es un cliente IRC que enviaba los datos de la máquina a una cuenta de IRC.

La parte buena, que he podido averiguar datos como la IP de origen, mediante los ficheros de log:

/var/log/messages (de cuando cometia errores al poner el password del usuario que se creó)

/var/log/secure

Ahora hemos pedido al DataCenter donde tenemos el servidor que nos pase más datos de esa IP sabiendo el dia y hora en que ha estado accediendo.

Suerte !! y contanos todo lo que has descubierto :)

Bueno, de momento ya he hecho un backup de todos los logs y ficheros que me puedan ser de utilidad. Ahora vamos a restaurar la máquina mientras esperamos respuesta del DataCenter para saber porque parte de la red ha podido entrar, ya que tenemos varios Ciscos y miramos de dejar abierto lo mínimo. Pero ya se sabe...solo hace falta que haya una pequeña fisura para que entren por ahí :P

Lo mejor es conservar el estado completo de la máquina. Es decir una copia completa del sistema. Si bien los datos, que pueden resultar una cantidad importante de información prescindible para el análisis forense, podrían eliminarse para reducir el tamaño de la imagen.

El intruso (si es que no fue un código difundido y se trata de un ataque dirigido) pudo esconder binarios u otros archivos en cualquier parte del sistema, no estando disponibles éstos para su análisis, en caso de descubrirse que alguna vez debieron existir, si se elimina el sistema y se conserva sólo una parte ínfima del mismo (los logs).

Salu2

No solo he copiado todos los logs "de interés", sino los ficheros de usuarios y passwords (me gustaria saber que contraseña puso en sus dos usuarios, por si da mas pistas) y también he copiado todos los ficheros que he visto que ha añadido o modificado.

Lo que más me preocupado no es que haya entrado en el servidor, que si es importante, sino como ha llegado a entrar en nuestra red.

El motivo es que el servidor era prácticamente el único de toda la red que no tiene Ip pública, y tiene por delante un cisco 3700. La otra opción de entrar a la red implica pasar por un firewall del DataCenter y luego por un Cisco ASA (creo que se llama así...).

Lo que más me preocupado no es que haya entrado en el servidor, que si es importante, sino como ha llegado a entrar en nuestra red.La mayoría de los ataques son desde dentro ... y es que desde dentro los vectores de ataque se multiplican exponencialmente con el número de servicios ofrecidos en la red.


El motivo es que el servidor era prácticamente el único de toda la red que no tiene Ip pública, y tiene por delante un cisco 3700. La otra opción de entrar a la red implica pasar por un firewall del DataCenter y luego por un Cisco ASA (creo que se llama así...).

Cualquiera con un poquito de control puede determinar fácilmente las reglas de los cortafuegos para luego impostar lo necesario para hacerse pasar por quien quiera que tiene todos los privilegios necesarios para acceder. Eso sin contar con que no haya mecanismos de seguridad mínimamente personalizados o fuera de lo predeterminado. Si sólo hay una autenticación en texto plano para el router, o éste sólo observa las IPs o las MACs, resulta muy trivial acceder al router.

Salu2

Bueno, tengo más información. Servicios de los servidores que están accesibles al exterior: WEB, FTP, SMTP, POP3 y DNS.

El Cisco 3700 no estoy seguro, pero el ASA seguro que no tiene las reglas por defecto. No solemos dejar los puertos abiertos a no ser que impida el funcionamiento de alguna aplicación importante.

Lo que si he visto, es otra puerta de "acceso". Se trata de un Cisco PIX 515, desde el que se conseguiría una IP dentro del segmento de red atacada, y por lo que me ha comentado un compañero, es el que más "peligro" tiene.

Alguna cosa que pueda hacer para comprobar la seguridad de ese PIX? Alguna herramienta? Probé el CGE contra los otros cisco, pero no me sacó nada.

Bueno, ya he encontrado la puerta de acceso, el PIX que tenía varios agujeros de seguridad. Yo sin esmerarme mucho he encontrado 2, así que una persona que se haya tomado su tiempo... ahora vamos a pedir que nos actualicen el firmware y ver que todo esté correctamente.

Posiblemente sea alguna de las ultimas vulnerabilidades que le encontraron al Cisco IOS.
Ademas de lo habitual para que te manden el firm, comentales lo que sucedio para que se tomen mas en serio los problemas de seguridad (si cabe).

Posiblemente sea alguna de las ultimas vulnerabilidades que le encontraron al Cisco IOS.
Ademas de lo habitual para que te manden el firm, comentales lo que sucedio para que se tomen mas en serio los problemas de seguridad (si cabe).

Eso es muy gracioso. Verás, el PIX 515 de la red afectada es propiedad del DataCenter donde tenemos los servidores. Igualmente, en nuestras oficinas tenemos el MISMO modelo de PIX. El de la oficina nos lo vienen a actualizar el lunes que viene. En cambio, el del DataCenter, después de enviar logs de ataques, direcciones IPs y horas para que pudiesen comprovarlo todo, nos dicen que el PIX no se puede actualizar porque Cisco hace tiempo que no sacó updates...

Lo preocupante es lo poco que se preocupa un DataCenter por la seguridad de sus máquinas, siendo unos de los DataCenter más importantes de España... en fin, sabiendolo intentaré "petar" el resto de firewalls porque ya no me fio ni un pelo...

Lo dicho, lo del DataCenter no tiene nombre. No quieren actualizar y dicen que es imposible que hayan entrado por el PIX.

Que exploits/PoC o herramientas puedo probar para petarlo y enseñarselo? Se trata de un PIX 515 con la versión del firmware:

Device PIX 515E PDM Version 3.0(4) PIX Version 6.3(5)


Ya probé el Cisco Global Exploiter y se supone que peta por esto:
Cisco IOS HTTP Auth Vulnerability

Pero el DataCenter dice que es imposible porque el PIX 515E no tiene IOS. Es eso cierto?

IOS es Internet Operating System, y el PIX desde luego no lo tiene.

Salu2

Cierto, columpiada por mi parte :D, el PIX creo que tiene su propio SO (no recuerdo el nombre).
LUK esta mas actualizado, creo que podra corregirme.
Sabia que habia leido la vulnerabilidad, pero encontre buscandola demasiada info, lo que si me llamo la atencion fue, que segun esto:

http://www.hispasec.com/unaaldia/3514

Cisco se puso en contacto con todos sus clientes para solventar el problema.

PD: j8, Internetwork Operating System :D

PS: Añado, ¿y logs logs del PIX no dicen nada anormal?

Bueno, misterio resuelto. No se trata del Pix, sino del Cisco 3700. La cosa es pa cagarse. La empresa que configuró el aparatito de marras, metió un precioso permit any any en la lista de permisos, y se quedaron tan anchos.

Hombre, claro, así no hay problemas de acceso xD

Nah, un pequeño agujero

Salu2