dios sabe tio jajajajaja turco!!!!!!!!!!!!!!! vale pos yo de ti empezaria hablando con el isp a ver que puertos tiene abiertos, a partir de ahi ya podremos seguir acotando. Un saludo
dios sabe tio jajajajaja turco!!!!!!!!!!!!!!! vale pos yo de ti empezaria hablando con el isp a ver que puertos tiene abiertos, a partir de ahi ya podremos seguir acotando. Un saludo
vamos a ir poco a poco y asi vemos todo y vamos cerrando vias de entrada y descartandolas.purcierto clarinetista tu opinion nos interesa jejejeje, que siempre es bueno mirar lo que se haya podido olvidar por un lao o por otro .................................... Por cierto eso no es turco.
Última edición por hail; 28-09-2006 a las 16:03
Nos han dao bien pal pelo. He puesto el sniffer a las 13 y ahora al volver de comer miro y ya nos la habían hackeado a las 12 ... ¬¬
lo que pasa es que como ya habiamos hecho un "apaño" su página no aparece y solo se ve la original (la buena, pa entendernos).
En cuanto al tema puertos, esto es lo que me saca NMAP:
Starting Nmap 4.11 ( http://www.insecure.org/nmap ) at 2006-09-28 16:00 Hora de
verano romance
Interesting ports on xxxxxxxxxx.XXXXX.local (192.168.3.250):
Not shown: 1651 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
42/tcp open nameserver
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
110/tcp open pop3
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
389/tcp open ldap
443/tcp open https
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
691/tcp open resvc
993/tcp open imaps
995/tcp open pop3s
1433/tcp open ms-sql-s
1723/tcp open pptp
2301/tcp open compaqdiag
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
5631/tcp open pcanywheredata
6001/tcp open X11:1
6002/tcp open X11:2
6004/tcp open X11:4
8080/tcp open http-proxy
49400/tcp open compaqdiag
Nmap finished: 1 IP address (1 host up) scanned in 5.828 seconds
------------
Los puertos 600x que pone como servicio X son del Wireshark. Con esos puertos hay muchas maneras de atacar a la maquina para colarte en wwwroot y copiar los ficheros (sin llegar a escalar privilegios)? No me interesa tanto la cantidad de variaciones de un mismo exploit como el tipo de exploit en si, ya sabes, para ver primero de acotar el puerto que usa y luego ya mirar porque por ese... Mañana pondré el sniffer desde que entre a currar, a ver si no se escapa el cabroncete xD
Entonces que es? Que pone?Iniciado por hail
vamos a ir poco a poco y asi vemos todo y vamos cerrando vias de entrada y descartandolas.purcierto clarinetista tu opinion nos interesa jejejeje, que siempre es bueno mirar lo que se haya podido olvidar por un lao o por otro .................................... Por cierto eso no es turco.
He visto un par de cosas "sospechosas", le hecho un ojo con más detalle y ya os cuento
por lo que veo asi es como vamos a tener que ir andando, puerto a puerto de los que tienes abiertos tendras que mirar que servicios ofrecen, si no son necesarios habra que capar esos puertos, y si estan en uso controlarlos y configurar todos los servicios aplicando todas las restricciones posibles, de todas yo acabaria rapido con esto poniendo un buen router entre tu isp y tu servidor, asi tardas menos y te comes menos la cabeza seguro.
Bueno, os cuento mis sospechas y vosotros que sabeis más me deciis si es posible y como.
Como ya comenté, en la misma máquina hay servidor de Exchange y IIS. En la web que han hackeado hay dos directorios de exchange:
NOMBRE RUTA DE ACCESO
- Exchange \\.\BackOfficeStorage\nombreweb.com\MBX
- ExchWeb C:\Archivos de Programa\Exchsrvr\ExchWeb
El primero es el mailbox (donde se almacenan los correos) y no hay ningun fichero físicamente. En cambio en el segundo aparece el siguiente contenido:
NOMBRE RUTA DE ACCESO
bin C:\Archivos de programa\Exchsrvr\ExchWeb\bin
6.5.6944.0
6.5.7226.0
controls
help
...
Eso quiere decir que hay una especie de CGI del exchange en la web atacada. Si atacan por ahí llegarían a tener permisos del usuario web de esa página y poder escribir en ella, no? Voy muy perdido y esto es imposible? Si se puede...con que técnica? Pop3 overflow o algo parecido?
He hecho un "dir *.htm /Q" para ver el usuario con que se habían creado y ...bingo! IUSR_USUARIOSRV !!! Esto me hace pensar que puede ser por algún exploit a través de la web outlook de la página. El tema esta en que ahora voy a mirar de actualizar el Exchange a ver si así se capa la entrada pero he visto que el usuario IUSR_USUARIOSRV esta en el grupo BUILTIN\Invitados (correcto supongo) y BUILTIN\Usuarios de Dominio. En que grupos ha de estar como mínimo?
Por cierto, comprobado que entra por esta vulnerabilidad:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-029-IT.mspx
pues a por el, ahora tienes dos opciones o denunciarlo a tu isp o quitar el usuario que se ha creado y poner un router medio bueno, yo de ti haria las dos cosas jejejeje aunqeu si no te ha jodido nada????? bueno eso queda de tu mano pero pon un router perimetral tio, que ademas si son baratitos joer y te evitas problemas, pon un router y configuralo al pelo y olvidate de ese tio que si lo haces como dios manda ya le costaria bastante mas entrar. saludos.
Busca en usuarios y grupos que es donde estan todos los usuarios y suprime del active directory todos los usuarios standar por decirlo asi como los invitados y demas, deja unicamente los usuarios que realmente pertenecen al dominio, piensa que incluso cuando instalas el IIS crea usuarios predefinidos para el servicio en cuestion,mira en el active directory en los usuarios y suprime los que no sean necesarios.
Purcierto se me osvidaba deberias de cambiar contraseñas aunqeu solo sea esta vez jajajajajaja tio es lo mejor y lo mas comodo con el tiempo, piensa que evitas cositas asi controlando los permisos y usuarios asociados a los mismos, en principio es un porculo pero cuando lo tienes to listo ya no es na mas que cambiar pass que son cinco minutos. Saludos y qeu guay que al final hayas conseguido encontrar y acotar el fallo pero con todos los puertos que tienes abiertos no sera el unico.
Última edición por hail; 28-09-2006 a las 21:03
Ya te dije que tenia que ser un ataque a nivel de aplicacion.
En el articulo qeu hail prepara para la eZine le comente una cosa que tal vez a ti te pudiese servir.
En los routers Cisco, cuando tu creas una serie de listas de acceso para crear unas restricciones, se utiliza una norma que es [b]established[b/], la cual solo permite conversaciones TCP que se han generado en la zona que recibe el trafico.
Para que no entendamos, el primer paso de la comunicacion (saludo a tres vias, etc...)
tiene que darlo un ordenador dentro de la propia web.
Asi protegerias tambien tecnicas spoofing si es que las utilizan.
Como ya te dije antes, actualiza todas las aplicaciones a sus ultimas versiones y estate al dia de parches que puedan surgir de todo.
¿Hojeaste el VNC como te dije?
29-09-2006, 00:17
Primero de todo, muchas grácias a los dos por vuestra ayuda y por todo lo que he ido aprendiendo mirando las cosas que me ibais comentando. Primero una cosa en general que va para ambos y luego por partes xD
Nosotros tenemos el servidor en el mismo ISP y la conexión es directa, por eso allí no hace falta un router para el tema de conexión a internet, no nos dan un RJ11 sino un RJ45 (e incluso fibra directamente). Por eso comentaba que ataques RIP no nos podían hacer porque nosotros nos llega la señal ADSL directa, y filtrabamos por el firewall.
@hail: veo dificil el tema de quejarse al ISP ya que si tu tienes que te dejen abiertos X puertos y te atacan por los que tienes abiertos... es cosa tuya que no los protejas. Y en cuanto a poner algo de por medio esta el firewall, pero si tu le dices que lo que viene por el 80 lo deje pasar y luego va y te la meten por ahí...vamos, que el firewall no le puedes filtrar el contenido sino los puertos. El tema usuarios y sus permisos se supone que estaba gestionado por una empresa que nos lo configuró y (creo) que nos lo mantiene (por un pastón, por supuesto... ¬¬), se supone que mañana lo iban a mirar pero para entonces ya el tema esta arreglado (espero). Lo de las contraseñas lo vamos a tener que mirar, eso seguro, pero hoy he tenido el tiempo justo como para averiguar por donde (el jefe mismo se ha quedado sorprendido por como he conseguido las pistas y lo he descubierto) y parchearlo.
@clarinetista: lo del router cisco, pese a que no lo tenemos allí, usamos uno para la oficina, y una de las cosas que me gustaría aprender (si sabeis algun sitio donde pueda encontrar algun tuto DECENTE) sería configurar y administrar un router cisco y un firewall cisco PIX, ya que es lo que usamos en el curro y veo que más vale que aprenda o nos pueden dar bien xD
Lo del TCP se a que te refieres, al hand shacking cuando se envian los primeros comandos para configurar la ventana y esas cosas, no? Lo que no me queda claro es donde es recomendable hacer esto, si fuera o dentro de la web (o sea, pasado o no pasado el router, no?). Deduzco que lo ideal es hacerlo dentro (no?) y para ello esta esa opción... ummm, es muy interesante. Si puedes hacerme el favor de indicarme algo más de información sobre eso, me harias un favor bien gordo pues son detallitos que parecen tontos cuando te dan el router, ya que piensas que es conectar y poco más, y se puede configurar más de lo que parece. mola mola...
En cuanto a la seguridad actual, pongo la mano en el fuego a que el servidor tiene más agujeros que un colador, porque hay algunos service pack que no estan instalados, etc. El tema esta en que hay muuuuchos servicios que han de tener puertos abiertos y estan en una misma máquina, pero en breve (quizás dias o un par de semanas) nos pondrán dos servidores nuevos que se repartirán la faena (esto ya estaba planeado antes de todo esto) así que ante un ataque habrá menos puertos que mirar por máquina xD
Lo del VNC lo tenemos que comentar (yo con el jefe) pero seguro que es algo reacio a cambiar tema contraseñas. Leche, si hasta los móviles de la empresa emplean una abreviación de las contraseñas! (todos los móviles los mismos PIN!!!!). Dice que así es más fácil al resto acordarse de como acceder y tal ¬¬ En fin, que además del soft hay que "actualizar" el concepto de seguridad que tienen.
Pese a la putada de que te entren en un PC he sacado muchas cosas positivas ya que he aprendido mucho, ahora espero seeguir aprendiendo pero sin que tengan que volver a entrar xD
P.D.: Fijo que mañana vuelve a entrar por otro lado xD
sip asi es si pones established hace lo que dice clarinetista y no solo puedes hacerlo en los cisco si tienes algun teldat como el mio el atlas tambien puedes sip, y en el manual tambien explicaba otra manera de hacerlo si, pero vamos que como dice clarinetista de lujo, yo en el manual estoy intentando hacerlo de la manera mas pura posible, me gustaria hacer algo con clase joer jejejejeje bueno pos eso qeu de lujo todo y me ha encantado poder colaborar en resolver tu problema, gracias a ti.
purcierto se me olvidaba gracias por mencionar mi trabajo en la ezine, me siento muy alagado y super agusto trabajando en un proyecto comun con gente como vosotros,(ademas soy el unico de nivel medio jejejeje) asi da gusto, y no es peloteo todo lo que digo siempre, entre otras porque no hay por que, y sobre todo porque no soy ese tipo de tio, pero es como lo siento y lo digo, encantado por todo.
Última edición por hail; 29-09-2006 a las 01:47
hola Malenko, mira soy muy muy muy muy nuevo en esto, pero despues de un rato de leer, mirar y analizar este post se me ha ocurrido algo, si te sirve aqui esta, puede ser una terrible tontada y si no lo podrasprobar, mira, desde mi humildisimo punto de vista windows por mas parchiado que lo tengas no es seguro, siempre tiene un backdoor o algun ahujero por donde entrarle, mi opinion era si, ya que la maquina la conectan directamente al servidor de internet, si no se les complicaba mucho de poner, antes de esta maquina, un pc firwall, yo he usado el mandrake firewall y me ha dado muy buen resultado, de ahi por un servidor samba lo comunicas con la red windows que tengas en todas las demas pc's, esto es lo mas seguro que se me ocurre pero como dige antes, tene en cuenta que soy un simple novato.
espero que te sirva de algo el comentario.
surte!!!!
bye
Como he dicho, la conexión a internet nos la proveen directamente, pero eso no quiere decir que la usemos tal cual, previamente es filtrada por 2 firewall PIX diferentes
Esta bien pensado, djinn941, tranquilo, pero como te dice Malenko ellos ya tienen un firewall fisico
Bien Malenko, veo que me entiendes y que estas puesto en el tema, o sea que subiere un escalon.
El tema del established se ideo para evitar ataques de ip spoofing, es decir un atacante puede hacer creer a tu server que esta dentro de tu red y quiere acceder a la misma. ES la mejor forma de evitar este ataque es esos routers, ya que el falseo de la ip se realiza en el momento del ensamblado de la trama, (directamente en Capa 2, practicamente a nivel de bits).
Por otra parte lo del VNC me refiero a que "vuestro amigo" (que con la chapa que os esta dando seguro que ya le llamas Roque o Juanjo
Cuando tu intentas atacar un Servidor web para realizar cualquier Defacement, por ejemplo, tienes dos niveles o tipos de ataque:
- Ataque a nivel de servidor: En este tipo de ataques, son mucho menos frecuentes, ya que requiere un nivel de conocimientos mucho mas avanzados, y no estan a la altura de cualquier script kiddie. Ese consiste en atacar directamente al Sisetma Operativo que corre en dicho servidor, aprovechando un bug o vulnerabilidad del mismo. Puede comprometer gravemente la seguridad del equipo
- Ataque a nivel de aplicación: Este es mucho mas comodo y sencillo de realizar, ya que ataca solamente a alguna aplicacion que esta funcionando en el PC comprometido, como puede ser un Servidor Apache, un CMS como phph-nuke...
Bien, tu problema es que te estas centrando demasiado en el primer tipo, y segun lo que comentas en post anteriores, creo que se trata de un ataque a nivel 2.
Trata de establecer una seguridad perimetral primero y pensar como si tu fueses el atacante, asi te ayudara a comprender mejor como implementar unas politicas de seguridad mas firmes y eficaces.
Un saludo
Última edición por clarinetista; 29-09-2006 a las 18:40
Primero, aclarar que esta mañana a primera hora, y revisando mejor los logs de todo el servidor hemos visto que todos los ataques han sido por deface, haciendo un simple PUT index.htm, ya que al crear las aplicaciones en IIS habian dado permiso de escritura en el directorio... ¬¬
Vamos, pa correrles a collejas. Yo ya estaba dando por supuesto de que al crear una aplicación vigilaban esos detalles,pero en su momento fueron a saco y les ha pasado factura no pararse a mirar los detalles... En cuanto a lo que me comentas, yo suponía que era un ataque a una aplicación y de forma genérica, ya que si realmente se hubiese querido meter en nuestro servidor lo hubiese hecho (lo dicho, parece un colador), y estaba casi seguro que venía por el servicio de IIS o ExchangeWeb, pero no encontraba gran cosa, además de que había muchos puertos abiertos.
Lo bueno es que el martes ya nos traen los servidores nuevos y ya en ellos nos miraremos que la seguridad esté ajustada al dedillo. Es más, esta vez yo estaré presente en la instalación junto con los técnicos que la realizaran (en esta ocasión he entrado a currar hace un mes y claro, no sabía en que estado estaban las cosas) y me encargaré de machacarles en todo lo que pueda. Así pues, este fin de semana me quiero mirar muy bien el tema de seguridad en IIS, Exchange y también lo que comentas en VNC, pero claro, algo tenemos que tener para administrarlo remotamente y si la última versión de VNC ya viene con algun agujero... Supongo que es cuestión de investigar. Por cierto, sabes alguno de administración de remota que este mejor? Nosotros principalmente usamos VNC y en algunas máquinas adicionalmente PC Anywhere.
Sino me equivoco (lo digo de memoria) la capa 2 de OSI es precisamente nivel de bit, no? el 1 es nivel físico, no? Hace mucho tiempo que dejé el mundillo este xD
No hombre, el Nivel 2 es el de enlace de datos,y el 1 el Fisico, como tu bien dices, pero la PDU del nivel 2 son las tramas y las del 1 son los bits
El VNC esta bien, pero parcheado al milimetro.
Bueno, lo mas importante es que lleves la politica de seguridad correcta y que te hagan caso en todo.
Sino, te volveran loco
Un saludo
eso es exactamente lo que le decia en los post anteriores, implementa politicas de seguridad fiables, suprime todos los usuarios que se crean en la implementacion de servicios tales como el IIS, tenlo todo actualizado al pelo para parchear los maximos agujeros posible, y asi y con una caña de pescar to se lleva, al principio reconocemos todos que es un follon, pero luego esta todo configurado y acotar fallas de seguridad o de aplicaciones he incluso del mismo sistema operativo, siempre es mas facil si esta todo controlado y bien estructurado. Saludos y encantado de leeros.
Por cierto, de las variaciones de VNC cual es más segura? Creo que la nuestra es la Ultr@VNC v.1.0.1 (del 2005 ¬¬) y por lo visto ya hay nueva versión. Habrá que hecharle un ojo. Por cierto, el tema de los updates de windows (Windows Update) actualizará también al Exchange?
He encontrado un fichero que dejó el hacker y que por lo que he podido averiguar esta en turco. Conoceis algún soft traductor de turco a inglés o castellano? Quizás sea solo una firma o quizás nos diga algo...
"uyarýdir sitenizde acýk var acýkLarýnýzý kapatýnýz
MUHAMM3D
Malenko, no sé si ya lo tienes, pero he conseguido la traducción del archivo que te dejó el hacker. Un par de días intentándolo, pero parece que sí es turco (o una variante), y la traducción aproximada es: esto es una advertencia, hay algo abierto en tu sitio web, por favor, cierra todo lo que esté abierto
Por lo tanto, parece un aviso y no con malas intenciones.
P.D. Si esa es la traducción, muchas gracias a Lorena, de otro foro, por la ayuda
Marcadores