Foro - Perl en Español

por **creating021** » 2006-10-04 16:06 @713

Hola ¿Que tal?
Bien, como es de esperarse no se puede hacer un flock a un directorio (el nombre lo dice todo file lock) así que esa es mi pregunta, cómo se puede hacer un flock a un directorio.
Ahora ustedes se preguntarán y eso para que, pues me pusieron un rootkit hace poquito (4 días) y me di cuenta al mirar /etc/passwd que había un usuario con UID 0 (root) y que root corría demonios que no existen, el rkhunter me lo dijo todo, un rootkit desconocido.
Pues lo que quiero hacer es como un jail pero el problema es que GNU/Linux se hace por medio de chroot, por lo tanto el usuario púede hacer esto:
cd /
O, puede hacer un cd ../ si el chroot no se está en /root, aun así no es lo ideal.
Ahora, lo paradójico aquí es que si hago un flock a ../ (si pudiera) el usuario puede ir a la raíz, a no ser que no ejecute bash sino otra cosa distinta pero con todo eso puede crear un programa/script para ir a la raíz, hmmm :cry:

no sería muy diferente al chroot.
Algúna idea, que no sea modificar el S.O.?

En caso de haber caído con un rootkit, la solución más sencilla es reinstalar todo el sistema. Mejor dicho. Instalar un nuevo sistema más moderno. Esa ha sido la solución adoptada por todos los administradores en todos los servidores que conozco en los que aparecieron rootkits, por la sencilla razón de que te puede llevar mucho tiempo averiguar qué cambios ha introducido. En alguna ocasión he visto como, mientras se preparaba una máquina nueva, los administradores miraban qué estaba haciendo el hacker dentro de la máquina atacada. He incluso intentamos entrar en la suya :-)

Se dió cuenta y desapareció :-D

Es recomendable, después de haber hecho la instalación, hacer una serie de medidas de seguridad:
* La partición /tmp ponerla como noexec, para evitar la ejecución de binarios.
* Las herramientas gcc, make, etc, ponerlas como no ejecutables. Es un fastidio que se suele solventar con un pequeño script, pero ahorra muuchos problemas.
* Cerrar todos los servicios que no vayamos a usar.
* De los servicios abiertos, investigar la forma de enjaularlos.
* De los servicios exclusivos para el administrador, como puede ser el ssh, cambiarles a otro puerto distinto al que tienen por defecto.
* De los servicios exclusivos para ciertas personas, intentar limitar el acceso usando el tcpwrapper (hosts.allow, hosts, deny).
* NINGÚN servicio corre como root, salvo los imprescindibles (hardware, cron, inetd, etc.).
* Disponer de algún sistema de aviso cuando algo raro pasa en los logs, como el snort o el logcheck.
* Si se instala una cierta distribución de Linux, apuntarse a la correspondiente lista de correo de agujeros de seguridad, para estar informado e instalar las nuevas versiones de los programas cuando salgan.

por **creating021** » 2006-10-04 18:56 @830

Eso ya lo hice, elimine el viejo Slackware e instale el último Arch, con todas las novedades.
Puse un firewall bloquenado el puerto de X11 y eso de quitar el ping a cada puerto.
El SSH, por ahora esta desavilitado y no tengo ningún demonio mas (nada de lp) y hasta ahora he creado un pequeño demonio que cada 60 minitus busca en /etc/sahdow un usuario con el UID 0.
En teoria si corres SSH en un chroot te queda como OpenBSD (el S.O. mas seguro del mundo) enjaulado pero en GNU/Linux, si mal no estoy, puedes ir a la raíz ya que el enjaublado es muy pobre.
Cambie passwords y todo eso pero ahora miro lo de /tmp y lo que me choca de Arch es la forma de trabajar los scripts de init, es muy raro.
Estoy en crear otro script que cree una firma digital de los comandos más manipulados y usados (ls, cp, rm, tar, exec...) y que los cheque cada hora o algo así, lo que me dío más piedra fue perder todo lo hecho.
Tengo planeado leerme un par de libros que tengo por ahí de seguridad en BSD, eso me puede dar ideas.
Algo que aprendi hoy es no usar Mozilla Firefox (aunque no lo uso, no me gusta) ya que demostraron un nuevo bug, pueden usarlo como maquina remota por medio de Java Script en cualquier plataforma, supongo que no hay que temer ya que no uso un browser que soporte JavaScript como root, pero aun así es si no quieres ver sangre no vas a la guerra.
Lo que ahora se me viene a la mente es hacer un script para mantener los init en flock, solo para lectura.
Esta gente es una molestia, no tienen nada mas que hacer, dan pena.
Lo que ahora me interesa es mantener lo mas que pueda (asi consuma muchos recursos) en constantes chequeadas, pero hay que recordar que la funcion de un rootkit es engañar el kernel así que no se cuna efectivo púede ser.
Lo pero es que el muy maldito (o maldita, no se) tinia un usuario creado con el nombre de gatekeeper que si buscas en yahoo! es un programa VoIP de GNU, lastima que no me di cuenta y puse un sniffer asi podria bloquear a este personaje indeseado

por **explorer** » 2006-10-04 20:12 @883

creating021 escribiste:Puse un firewall bloquenado el puerto de X11 y eso de quitar el ping a cada puerto.

Por defecto, en las distribuciones linux, todos los servidores X11 vienen con la opción 'nolisten tcp' por lo que no escuchan nada que venga por la red.

creating021 escribiste:El SSH, por ahora esta desavilitado y no tengo ningún demonio mas (nada de lp) y hasta ahora he creado un pequeño demonio que cada 60 minitus busca en /etc/sahdow un usuario con el UID 0.

Excesivo. Me parece excesivo.

creating021 escribiste:En teoria si corres SSH en un chroot te queda como OpenBSD (el S.O. mas seguro del mundo) enjaulado pero en GNU/Linux, si mal no estoy, puedes ir a la raíz ya que el enjaublado es muy pobre.

El enjaulado en linux funciona muy bien siempre y cuando se sigan una serie de reglas, pero la más importante es que no se ha de ser usuario root. Por eso los servicios (la mayoría de ellos) deben correr con otro usuario.

creating021 escribiste:Cambie passwords y todo eso pero ahora miro lo de /tmp y lo que me choca de Arch es la forma de trabajar los scripts de init, es muy raro.

Yo desde siempre uso Debian para los servidores.

creating021 escribiste:Estoy en crear otro script que cree una firma digital de los comandos más manipulados y usados (ls, cp, rm, tar, exec...) y que los cheque cada hora o algo así, lo que me dío más piedra fue perder todo lo hecho.

Hummm. Me parece demasiado paranoico...

creating021 escribiste:Algo que aprendi hoy es no usar Mozilla Firefox (aunque no lo uso, no me gusta) ya que demostraron un nuevo bug, pueden usarlo como maquina remota por medio de Java Script en cualquier plataforma, supongo que no hay que temer ya que no uso un browser que soporte JavaScript como root, pero aun así es si no quieres ver sangre no vas a la guerra.

Yo uso Firefox desde hace 3 años y lo usaré mañana por la mañana. El descubrimiento de bugs es un síntoma de que cada vez más personas lo están usando. Y la versión corregida aparece a las pocas horas, sino en el momento, de aparecer el error. También cuenta con que nunca vas a visitar 'cierto' tipo de páginas :-)

Desde que uso Línux+Firefox, no he vuelto a 'sufrir' ni virus, troyanos, ataques, espías, cuelgues, bombas, pérdida de datos, etc. etc. desde 1995.

creating021 escribiste:Lo que ahora se me viene a la mente es hacer un script para mantener los init en flock, solo para lectura.

Es mucho mejor particionar el disco en varias partes y darle atributos a las particiones como sólo lectura. Es más. Yo he visto el summun de la seguridad. He visto a un servidor que tenía todos los binarios grabados en un CD. Así no hay manera de cambiarlos :-)

Hay también paquetes y programas para linux que mandan un informe diario diciendo qué ficheros han sido modificados, como Tripwire.

creating021 escribiste:Lo que ahora me interesa es mantener lo mas que pueda (asi consuma muchos recursos) en constantes chequeadas, pero hay que recordar que la funcion de un rootkit es engañar el kernel así que no se cuna efectivo púede ser.

Un rootkit puede hacer un montón de cosas. El que yo ví hace un par de años modificaba algunos binarios básicos, como por ejemplo el ls, para instalar un servidor de irc y de esa manera convertir el ordenador en un zombie y de allí lanzar correos o servir simplemente de servidor ftp anónimo.

creating021 escribiste:Lo pero es que el muy maldito (o maldita, no se) tinia un usuario creado con el nombre de gatekeeper que si buscas en yahoo! es un programa VoIP de GNU, lastima que no me di cuenta y puse un sniffer asi podria bloquear a este personaje indeseado

Lo que sería importante es saber cómo y porqué ha entrado. De esa manera estarás más preparado para la próxima vez. Que la habrá.

por **creating021** » 2006-10-04 20:59 @916

Mucha paranoia digo que si, lo que pasa es que no se hakearon un servidor (aunque ya lo hicieron una vez, por problemas de codigo en openweb mail) si no mi máquina en la red local que es puede ser punto clave ya que el router no esta muy restricto y se puede crear una segunda conección no física así pueden entrar al servidor, cosa que no quiero, es mas no hace mucho (Esto es diferente) se "pegaron" a la red local ya que es wi-fi, se puso una wep key y se puso en otro canal para evitar el ruido ahh, sí y aquí hay un OS X con iTunes, muestrava que cuatro personas estavan como usuarios de esa cuenta, el problema se arreglo, lo raro es que desde mi máquina con el rootkit no funcionava el SMTP con SSL.
Lo de SSH lo tengo así poruqe no lo he configurado (Necesito SSH para comunicarme con el server y demás compus que hay en la red) lo del usuario no fúe totalmente por paranoia, fue más bien por querelo hacer :wink:

me gustó mi propio reto, trabajra con /dev/console
Lo de crear el MD5 si tiene razón ya que el rootkit pudo entrar por un archivo precompilado de linuxpackages o una actualizacion de hotplug que hice, me confie en cosas que no debí, claro que si quiero parchar algo o actualizar no tiene ningún sentido hacerlo, de hecho ya no lo quiero hacer, lo que me pasó pasó por mirar en páginas de ""segúndos"" y no en freshmeat.

Lo de particon de disco ya estoy en eso

Aclaro algo, paresco paranoico pero he usado GNU/Linux mucho tiempo sin ningun tipo de protección, eso me dió ahora más bien por aprender.
Ahora aquí siempre usamos OpemBSD como servidor, ese ha sido escaneado 3 días segidos por hackers desde 10 IP's diferentes que cambian constantemente y todas eran de Brasil, el problema se arreglo bloqueando pero todo esta conectado, desde el mismo tiempo fueron los ataques (menos el de webmail, ese fue un fanatico novato) el problema es que corria (el rootkit) un intd junto con un sniffer (según rkhunter) así como te podras imaginar no es cosa de dejar así como así aunque ya todo esta normal.
En cuanto a lo de Mozilla, como decis siempre lo arreglan y como usuario no hay mucho que hacer.
Bien esto me da una idea de que es lo que me espera en caunto a administracion de servidores :lol:

bueno no es para tanto, pero me gusta aprender y me encanta esto de sistemas seguros.
Por cierto, al parcer Perl ya no viene en FreeBSD :cry:

toca instalrlo por puertos, ya lo que usan es awk por pequeño y facil de instalar.

por **explorer** » 2006-10-08 13:30 @604

creating021 escribiste:Algo que aprendi hoy es no usar Mozilla Firefox (aunque no lo uso, no me gusta) ya que demostraron un nuevo bug,

Fue una "broma": http://meneame.net/story/microsoft-patr ... re-firefox

por **creating021** » 2006-10-08 16:21 @722

aun así el parche lo publicarían en un par de días sí el bug fuera cierto, pero con todo eso no me gusta Firefox aunque sea el 39% de los browsers en uso (incluye Flock, Netscape, etc) no me gusta por, bueno por, no se porque pero no me gusta depronto es por pesado no se pero no quedo comodo usandolo.
En fín gracias por la info :wink:

Foro - Perl en Español

Flock en un directorio y seguridad?

Flock en un directorio y seguridad?

Publicidad

¿Quién está conectado?