Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Libertonia desaparecida durante casi 18 horas.

Libertonia
Por iarenaza
departamento crackea-que-algo-queda , Sección Meta
Puesto a las Mon Aug 11th, 2003 at 11:12:18 PM CET
Es posible que algunos de vosotros hayáis notado un comportamiento raro en Libertonia desde el Sábado 9 de Agosto de 2003, a las 17:30 CET DST hasta las 13:30 CET DST del Domingo 10 de Agosto de 2003.

La razón es bien sencilla: alguien (no deseado) se había colado en el servidor que aloja Libertonia (y otras cuantas webs del proyecto escomposlinux.org) y estaba tratando de hacer algunas cosas poco recomendables desde dicho servidor.

Así que en cuanto tuve conocimiento del asunto (después revisando los logs descubrí que la intrusión se había producido casi 24 horas antes), tiré abajo el servidor completo (a las 17:30 CET DST del Sábado citado).

 


Trás hacer las pertinente copias de seguridad de lo que había en dicho servidor (de cara a su reinstalación inminente y de cara al análisis forense que se practicó después y que aún continua), el equipo reinstaló desde cero desde fuentes confiables, y se procedió a su parcheo con todas las actualizaciones de seguridad disponibles (el servidor corre con Debian GNU/Linux 3.0).

Un análisis rápido de los logs del sistema (por suerte estaban intactos, más abajo explico el porqué), se dedujo el vector de ataque: apache. Así que el resto de servicios que corrían en dicha máquina se activarón en ese mismo instante, al quedar descartados. Ahora sólo quedaba saber a través de que web habían entrado. Inicialmente se penso en alguno de los CGIs que habia en el sistema, pero revisando los logs de las diferentes sedes web rápidamente quedo claro que era a través de la propia libertonia por donde se había llevado a cabo la intrusión.

Así que se activaron todas las sedes web restantes, dejando el host virtual de libertonia desactivado hasta investigar con más detalle el asunto. Lo cual hizó que desde las 22:45 CET DST, más o menos, en adelante, toda petición de la página de libertonia recibía la bonita página de inicio del proyecto escomposlinux.org. Espero que los hits extra nos haya hecho subir en el ranking de Google ;)

En todo caso, como he dicho antes, los logs estaban intactos gracias a una reciente actualización del kernel de dicha máquina. El intruso habia bajado al servidor un exploit de root basado en el fallo de ptrace de la serie 2.4.x del kernel, fallo que ya está corregido en la versión del kernel que ejecuta dicha máquina. Con lo cual el intruso no consiguió privilegios de root y la intrusión fue bastante contenida. Lo que si que hizo fue descargarse al servidor algunas herramientas disponibles en esta web http://infernalis.republika.pl/ (en los logs de apache quedan las trazas del uso de wget para bajarse un par de ellas), y lanzar conexiones a diestro y siniestro a una plétora de máquinas de Internet para hacer quién sabe qué con ellas o contra ellas...

Hemos parcheado Scoop para que filtre algo más las consultas SQL (sospechamos que la intrusión se ha llevado a cabo por medio de inyección de SQL, pero como he dicho antes, el análisis forense sigue en marcha) y registramos absolutamente todas las consultas realizadas a la base de datos con todo lujo de detalles (el disco es barato :), así que si vuelve por aquí esperamos poder determinar como se ha colado con más facilidad.

Lamentamos las molestias que esto haya podido causar a los asiduos de este foro, pero hemos tratado de volver lo antes posible con unas mínimas garantías de continuidad.

Saludos. Iñaki.

< Liberado FacturaLUX v0.7(Prototipo) (22 comments) | El Canon (91 comments) >
Enlaces Relacionados
· Scoop
· escomposlinux.org
· http://infernalis.republika.pl /
· More on Libertonia
· Also by iarenaza

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Libertonia desaparecida durante casi 18 horas. | 1 comentarios (1 temáticos, editoriales, 0 ocultos)
Pues.... (none / 0) (#1)
por JulHer a las Mon Aug 18th, 2003 at 11:51:22 AM CET
(Información Usuario)

Pues muchas gracias por la rápida respuesta.

Un saludo



 
Libertonia desaparecida durante casi 18 horas. | 1 comentarios (1 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda