Soy raro? Busco vulnerabilidad en mi sistema...

[Malenko]

... para que no me entren. Ya van 2 dias consecutivos que nos entran en el Servidor Web (2003 Server) y nos modifican una de las webs de un cliente nuestro por un mensaje islamista contra el papa. El servidor entiendo yo que tiene bastante chicha para atacar: IIS, Exchange, SQL Server, Servidor DNS, y alguna cosa que seguro me dejo. Antes teníamos servidor de FTP pero me lo hicieron desactivar después del primer ataque. Yo ya me parecía que no habían atacado por ahí, ya que solo han tocado una web (en los 2 ataques siempre la misma) y no han instalado ni root kit ni nada por el estilo. Le estoy mirando de pasar Nessus para detectar vulnerabilidades.

Que pasos o que temas tendría que mirarme más? Por si acaso, le quiero meter algun sistema que registre las huellas de un posible ataque (otro más). Había pensado en Sygate Firewall. Me aconsejais algun otro?

Ya se que aquí la mayoría de gente busca entrar en un sistema. Yo busco evitar que me entren y saber por donde y como. Muuuuchas gracias!

[Piratengs]

Buenas Malenko.
Aunque soy un principiante ay va mi humilde opinión.
Si es verdad que vuestro servidor como tu dices, tiene bastante "chicha", y yo me decantaría por echar una buena ojeada al ISS $ SQL server. Aún así, te recomiendo una mágnifica herramienta, que examina el equipo en busca de todo tipo del vulnerabilidad, y es REALMENTE BUENO, GFI Languard Network Security Scanner. Me parece que no existe ninguna versión gratuita o de prueba, pero bueno, ay queda.

Sin más repetir que soy un principiante y me encantaría, en el caso de meter la pata (Lo mas seguro) me corrijan

Espero haberte servido de ayuda

[clarinetista]

Fijate que tengas actualizadas todas las aplicaciones de los servidores web, tanto del IIS como las bases de datos....
Tambien trata de analizar los logs del server, e incluso utilizar alguna tecnica de RIP o algun IDS.
Quiza snort te pudiera servir.

[Malenko]

Más datos que pueden ser de interés. Lo curioso es que solo ha cambiado una web, y en ambas ocasiones ha cambiado la misma web, cuando si hubiese accedido "completamente" a todo el servidor podría haber cambiado decenas de ellas entre otras muchas cosas.

Información sobre el ataque...pues ha insertado paginas index.html, index.htm, default.htm, default.html y alguna más de las que suele tener definida por defecto el IIS.

Investigando en la máquina con scanners he visto que tiene habilitado el servicio gopher, que según me avisaban los mismos scanners podia dar paso a ejecución de código (por buffer overflow supongo).

Si quereis que os pase un report hecho con alguna herramienta que me pidais, soy todo vuestro El tema es que me gustaria saber que puerta puede haber abierta en la maquina (se me olvidó decir que tiene instalado los servidores de VNC y PC Anywhere).

Quería instalar Sygate firewall pero el problema es que el servidor no lo podemos reiniciar así que opción descartada. Si me recomendais alguna otra herramienta que me permita hacer lo mismo, estaré encantado. De momento le hemos cortado paso (o eso intentaremos) cambiando el nombre de la web inicial (ahora es inicio.html, por decir algo), a ver si el ataque es automatizado o se lo curra algo más :P Sino falla, mañana apartir de la 13:30aprox intentará atacar el servidor. Si hace falta que para ver con que hace el ataque me tenga que quedar sin comer y conectado viendo un sniffer...se hace.

Muchas grácias por vuestra ayuda. A mi me ha tocado aprender "desde el otro lado", pero lo bueno es aprender y mirar de conseguir sistemas más seguros

[Malenko]

Buenas Malenko.
Aunque soy un principiante ay va mi humilde opinión.
Si es verdad que vuestro servidor como tu dices, tiene bastante "chicha", y yo me decantaría por echar una buena ojeada al ISS $ SQL server. Aún así, te recomiendo una mágnifica herramienta, que examina el equipo en busca de todo tipo del vulnerabilidad, y es REALMENTE BUENO, GFI Languard Network Security Scanner. Me parece que no existe ninguna versión gratuita o de prueba, pero bueno, ay queda.

Sin más repetir que soy un principiante y me encantaría, en el caso de meter la pata (Lo mas seguro) me corrijan

Espero haberte servido de ayuda

Precisamente una de las cosas que más "respeto" me da es el SQL Server, ya que una vez me entraron por ahí (no ahora) y miro de tenerlo lo más actualizado posible. El problema reside en que yo llevo ahi trabajando 2 meses escasos y esa máquina lleva ahí unos años, por lo que no se exactamente si le han ido aplicando todos los parches. De todas maneras, he mirado de pasarle el programa que tu comentas y que te hace un scan de los updates de seguridad que tendría que haber en la máquina, y no me ha saltado ningún aviso.

[Malenko]

Fijate que tengas actualizadas todas las aplicaciones de los servidores web, tanto del IIS como las bases de datos....
Tambien trata de analizar los logs del server, e incluso utilizar alguna tecnica de RIP o algun IDS.
Quiza snort te pudiera servir.

Yo diria que esta actualizado pero no pondría la mano en el fuego, tendría que consultarlo mañana para estar seguro del todo. El tema esta en que, como he comentado antes, no podemos reiniciar el servidor, porque es un HP Proliant que esta ya bastante cascadillo y cuando reinicia no es capaz, solo se apaga xD Además, al servidor no tenemos acceso físico, esta en un IDC y para que lo reinicien hemos de llamar, que este una persona autorizada para ello, que vaya a la sala e identifique nuestro servidor y lo arranque (sin contar que tiene que encontrar las llaves, etc.).

Analice los logs del servidor, bueno, el visor de sucesos de windows (si te refieres a otro lugar dime en cual) y principalmente salian errores de exchange.

El tema este lo conozco pero no lo domino (llevo mejor el tema de los virus xD) así que desconozco a que te refieres con el RIP y el IDS. Si me puedes comentar a grandes rasgos la técnica o donde lo puedo consultar... (ahora estoy buscando por google y por el foro ).

Thanks again!

[hail]

deberias como dice clarinetista actualizar si no lo tienes el windows 2003 y todas las aplicaciones que se esten ejecutando al igual que todos los servicios, supongo que te habras hartado de revisar permisos, aun asi yo les echaria un ojo, y desde luego cambiaria nombres de usuario y contraseñas, sobre todo las ultimas, las cuales periodicamente deberias de cambiarlas utilizando como siempre alfanumericas con mayusculas y minusculas y to eso, en el caso de qeu tengas un router potente echale un vistazo y mira que toda la configuracion este correcta, cortando desde su cortafuegos y las acls cualquier tipo de servicio y puerto que no necesitemos, a menudo los isp abren puertos a saco y si no se controlan pueden ser una via de entrada, si dices qeu solo toca la pag de un cliente lo normal es que no solo pueda tocar la de ese cliente sino mas puesto que ha conseguido un acceso autenticandose en el servidor.
Y por ahora no se me ocurre na mas que poner tambien firewall en el servidor configurandolo exaustivamente, asi y examinando toda la informacion que puedas obtener del ataque y atacante, utilizando programas que generen logs con todos los intentos de intrusion tipo firewall, y a ser posible alguno de pago que veas que lleva todas las reglas de filtrado posibles, y to por to. En principio con esta informacion que das no se decirte mas .Espero servirte de ayuda

[clarinetista]

http://es.wikipedia.org/wiki/IDS

Lo del RIP me referia a tecnicas forenses (perdona a veces se me va la pinza)
Al comentar uno de tus post arriba me preocupa en exceso el VNC, y apostaria por una vulnerabilidad en ese termino.
Revisa eso tambien

[Malenko]

Ya me he bajado el Snort pero las reglas que me permite bajar son bastante antiguas (2005) hay algun lugar de conseguir algunas nuevas?

[clarinetista]

Lo que te plantea hail no es mala idea tampoco, crearte una red perimetral segura

http://es.wikipedia.org/wiki/DMZ

Tal vez podrias aplicar unas restricciones en el trafico TCP/IP para que solo se establezca el trafico desde la red y no desde fuera.

[Malenko]

@hail: Tema usuarios y contraseñas es algo "peliagudo". Ya es algo que he hablado con el que "se supone" es el jefe del equipo informático, y es que es muy triste pero las contraseñas para TODO son las mismas, son "largas" pero no imposibles, ya que son de 8 caracteres (menos las del servicio ftp que son muyyyyy largas-->64 o más). Tened en cuenta que la empresa empezó como algo pequeño y ha ido creciendo poco a poco hasta convertirse en la que es actualmente, y ya se sabe, a base de "parches" y por pereza no se han puesto nunca a revisar su (¿nula?) "política de seguridad".

en el caso de qeu tengas un router potente echale un vistazo y mira que toda la configuracion este correcta, cortando desde su cortafuegos y las acls cualquier tipo de servicio y puerto que no necesitemos, a menudo los isp abren puertos a saco y si no se controlan pueden ser una via de entrada, si dices qeu solo toca la pag de un cliente lo normal es que no solo pueda tocar la de ese cliente sino mas puesto que ha conseguido un acceso autenticandose en el servidor.
Y por ahora no se me ocurre na mas que poner tambien firewall en el servidor configurandolo exaustivamente, asi y examinando toda la informacion que puedas obtener del ataque y atacante, utilizando programas que generen logs con todos los intentos de intrusion tipo firewall, y a ser posible alguno de pago que veas que lleva todas las reglas de filtrado posibles, y to por to. En principio con esta informacion que das no se decirte mas .Espero servirte de ayuda

Este tema si que esta muy bien llevado y hay firewalls a punta pala. Tenemos uno en la entrada a nuestra red que nos provee el ISP que pagamos para que nos corte todo menos los puertos "estandard" y el del VNC que tenemos cambiado (no va por el 5800/5900). Luego tenemos un PIX de Cisco protegiendo las máquinas sensibles. El tema puertos abiertos no nos preocupa, estan abiertos los justos. El problema es lo que hacen por ellos lo que si me preocupa... Si te hace falta más información pidemela, que yo tampoco se exactamente cuala te hace falta

Lo que te plantea hail no es mala idea tampoco, crearte una red perimetral segura

http://es.wikipedia.org/wiki/DMZ

Tal vez podrias aplicar unas restricciones en el trafico TCP/IP para que solo se establezca el trafico desde la red y no desde fuera.

El tema de la estructura de la red esta bien montada, eso (en principio) no lo dudaría. La zona desmilitarizada (DMZ, esa si que la conozco xD) esta creada y separada del resto por un PIX, además dentro de poco la red la vamos a ampliar y a comprar otro PIX para controlar las nuevas máquinas.

[hail]

una vez que el atacante haya identificado los dispositivos de enrutamiento de tu red, crea paquetes Routing Information Protocol (RIP) para engañar al router, asi consigue que el router le envie paquetes a una red que no es la correcta, osea no autorizada.
Ademas y pa colmo RIPv1 no tiene seguridad para la autenticacion para actualizar sus tablas de enrutamiento

Puedes probar a desactivar las capacidades RIPv1 del router, la v2 y Open Shortest Path First tienen un mecanismo muy rudimentario de autenticacion de contraseñas pero pueden limitar la capacidad de un atacante para efectuar un engaño RIP.
Cuando te sea posible o si te lo es deberias de desactivar todos los paquetes RIP (PORT 521 TCP/UDP) de los routers frontera, tambien miraria las contraseñas SNMP, y muchas mas cosas porque habiendo un ataque no sabes hasta tener mas informacion del mismo si entro asi o asao.
Ya asi de primeras si qeu no se me ocurre mas, me fumao muchos y estaba aqui liao currando jejejeje espero servir de ayuda

Las contraseñas es algo importantisimo, lo mismo es alguien que trabajo alli y si no las cambian sabe como joder, hay que cambiar contraseñas a saco y llevar en ese sentido una politica segura, es decir segun la intensidad de los ataques recibidos y la entrada y salida de personal en la empresa habra que establecer una politica de cambio de contraseñas que de seguridad a la empresa, tu me entiendes.


Por cierto clarinetista enhorabuena ya eres moderador jejejeje yo zoy medio sip jajajajaja. Algun dia..............

[Malenko]

http://es.wikipedia.org/wiki/IDS

Lo del RIP me referia a tecnicas forenses (perdona a veces se me va la pinza)
Al comentar uno de tus post arriba me preocupa en exceso el VNC, y apostaria por una vulnerabilidad en ese termino.
Revisa eso tambien

Grácias, me estaba volviendo loco buscando información sobre RIP y solo me salían cosas de muertos xD El tema RIP...bueno, sino recuerdo mal hay una distro de Linux especializada para estos temas (tipo Live CD pero con las herramientas necesarias). Investigaré que herramientas tengo en Windows que me permitan hacer eso. Lo del VNC será lo primero que cambiaré mañana (lo puedo hacer ahora, pero por si acaso mi jefe también intenta acceder remotamente y ve que no puede, no se vaya a dar un susto xD). Si veo que mañana han insertado otra vez las páginas hackeadas eliminaré esta opción.

Me miraré el Snort y si encuentro algún IDS más (grácias por la info, tengo que mirarme tantas cosas y tan rápido que no doy abasto).

[Malenko]

El tema de los ataques RIP me lo miraré mañana con un esquema de la red por delante. Una pregunta tonta: el diseño de la red posibilita o inhabilita el ataque por RIP? Es decir, cambiando la configuración de la red se podría evitar? Le hecharemos un vistazo al tema de Internet pero ahora mismo lo único que se es que el router de la oficina (que no el del IDC) es un cisco, y poco más.

En cuanto a temas de seguridad de contraseñas, para empezar cada usuario tendría que tener la suya propia, con su fecha de caducidad, etc. Pero aquí todos son amigos (literalmente) que se han juntado para crear la empresa y lo único que han hecho ha sido pillar gente, no les ha hecho falta hechar a nadie, así que esa parte la descartaría (que no la debilidad de los passwords).

Por cierto, desactivando el RIP del router se "pierde" algo de funcionalidad? O simplemente la opción de poder redireccionar mediante soft por donde van los paquetes?

[hail]

a ver me explico, lo primero coje el visio y crea en un diagrama de red toda la red y la estructura de la empresa, incluyendo hasta el ultimo dispositivo de la misma, asi conseguiras tener una vision mas clara de lo que tienes, a partir de ahi en los comentarios que puedes poner en el diagrama, al lado de cada dispositivo, pon todo lo que puedas sobre su configuracion de manera reducida para tener todavia una vista mas amplia de la red, el tema rip te recomendaria o desactivarlos o poner RIPv2, si lo desactivas y no pierdes ninguna funcion es que no estais haciendo nada con ello, es que no se como es la configuracion de tu red y no se decirte mas, aun asi prueba todo esto que te decimos y ve acotando fallos, todo tiene que empezarse a mirar globalmente e ir descartando, por lo que me dices el atacante sabe lo qeu hace y yo haria esto que te decimos.

[Malenko]

Sip, lo de visio es lo segundo que haré mañana (lo primero es un presupuesto para un cliente :S ). El tema RIP yo diría que no lo usamos para nada pero no lo puedo confirmar. Muchas grácias por vuestros consejos, a ver que tal va mañana xD

[hail]

siempre es un placer ayudar a quien no va a joder a los demas tio, asi da gusto. En lo que pueda ayudarte y supongo qeu puedo decir en lo que podamos aqui estamos, sigue contandonos y a ver si acotamos el fallo, o cuando menos lo solucionamos en alguno de los pasos. Saludos.

[Malenko]

Mi idea era estar mañana con un sniffer (ethreal) desde la 13 esperando a que intente algo. Es buena idea o mejor tirar por otra cosa?

Doy grácias principalmente porque, aunque llevo poco tiempo en este foro, se ve que la mayoría de gente solo busca joder al prójimo, y en lugar de aprender a bajo nivel como funciona una técnica o herramienta, quieren un programa que dandole a un botón les haga todo :S

[hail]

es buena idea pero ponlo todo el dia y asi puedes analizar al final del dia los momentos mas vulnerables ya sea por servicios usados que utilizan puertos para su comunicacion, o servicios al exterior o lo que sea que pueda utilizar un puerto, asi tendras una vision de como es un dia en tu curro y como te digo analizar, Un saludo ayer me quede sopa

[Malenko]

Buenos dias!

Ahora mismo me he bajado el analizador de paquetes. Voy a mirar como funciona en otra máquina y luego la paso a la máquina "victima". Descartado el ataque RIP ya que no hay router, el acceso a Internet es "directo" ya que la máquina esta conectada directamente al proveedor de Internet, así que no hay router (por nuestra parte) .

He encontrado un fichero que dejó el hacker y que por lo que he podido averiguar esta en turco. Conoceis algún soft traductor de turco a inglés o castellano? Quizás sea solo una firma o quizás nos diga algo...

"uyarýdir sitenizde acýk var acýkLarýnýzý kapatýnýz

MUHAMM3D "