Me acaban de hackear el sistema.. casuennn la mierda.. ;(
http://www.zone-h.org/index2.php?option=com_mirrorwrp&Itemid=43&id=5628104
Creo que tan solo me han cambiado la pagina de inicio, estoy intentandola poner Ok, pero es que no localizo dónde está lo que han tocado.
A la zona de aministración y demás accedo Ok ,sin problemas
¿alguna idea?
Tengo moodle1.6.2 , alguien tiene idea de qué vulnerabilidad han aprovechado?
Estoy pensando también actualizarme a la ultima versión de Moodle, la 1.7.. alguna experiencia?
Muchas gracias
El servidor todavía no está en produccción, estamos en fase de pruebas, pero ya con unos cuantos cursos metidos. No tenía ni que haberlo puesto como servidor moodle en moodle.org, pero al parecer lo hice al registrarlo y quedó al acceso de la gente, de hecho veo ya consultas en google que dirigían a nuestro sitio..
¿En ese mismo servidor tenías algúna otra aplicación más con acceso desde la red? (aplicaciones web o de otro tipo)
Lo digo para descartar posibles origenes de la intrusión. Por otra parte, si tenéis logs del servidor (aunque pueden estar comprometidos al menos pueden dar alguna pista), no estaría de más echar una ojeada a los mismos.
Y si tenéis algún tipo de IDS o similares en vuestra red, podéis consultar también sus registros, para ver que tipo de ataques habéis sufrido en el periodo en que han comprometido el servidor de Moodle.
Al final es un trabajo algo pesado y delicado, pero con tiempo se puede tirar del hilo si tenéis información de registros más o menos fiable.
Y si os urge poner de nuevo el servicio en marcha, siempre podéis hacer réplicas de los discos de ese servidor y guardarlas aparte para hacer análisis forense (hay un par de toolkits bastante majos en software libre).
En cualquier caso, yo revisaría que todo el software que está instalado en ese servidor está lo más al día posible (incluyendo kernel, s.o. y aplicaciones) y con los parches de seguridad del fabricante actualizados.
Espero que no os hayan hecho demasiado destrozo...
Saludos. Iñaki.
Lo digo para descartar posibles origenes de la intrusión. Por otra parte, si tenéis logs del servidor (aunque pueden estar comprometidos al menos pueden dar alguna pista), no estaría de más echar una ojeada a los mismos.
Y si tenéis algún tipo de IDS o similares en vuestra red, podéis consultar también sus registros, para ver que tipo de ataques habéis sufrido en el periodo en que han comprometido el servidor de Moodle.
Al final es un trabajo algo pesado y delicado, pero con tiempo se puede tirar del hilo si tenéis información de registros más o menos fiable.
Y si os urge poner de nuevo el servicio en marcha, siempre podéis hacer réplicas de los discos de ese servidor y guardarlas aparte para hacer análisis forense (hay un par de toolkits bastante majos en software libre).
En cualquier caso, yo revisaría que todo el software que está instalado en ese servidor está lo más al día posible (incluyendo kernel, s.o. y aplicaciones) y con los parches de seguridad del fabricante actualizados.
Espero que no os hayan hecho demasiado destrozo...
Saludos. Iñaki.
Hola Iñaki, como simpre gracias por todo,
Ya he levantado el servicio. Tenía Moodle 1.6.2+ y no he encontrado ese mismo paquete. He puesto ahora el 1.6.4 y parece que todo va OK.
No sé qué vulnerabilidad han aprovechado... en el mismo servidor tenemos un montón de aplicaciones más ejecutandose y no han atacado a nada más: joomla, zope.. y solo a afectado a moodle...
Tenéis experiencia con http://www.chkrootkit.org/download/ ?? lo usaríais?
Cuales son los CD's a análisis forense de los que hablas? no creo que pueda usarlos en este caso, pero estará bien saber la opinión de un experto.. ;)
Muchas gracias !!!
Ya he levantado el servicio. Tenía Moodle 1.6.2+ y no he encontrado ese mismo paquete. He puesto ahora el 1.6.4 y parece que todo va OK.
No sé qué vulnerabilidad han aprovechado... en el mismo servidor tenemos un montón de aplicaciones más ejecutandose y no han atacado a nada más: joomla, zope.. y solo a afectado a moodle...
Tenéis experiencia con http://www.chkrootkit.org/download/ ?? lo usaríais?
Cuales son los CD's a análisis forense de los que hablas? no creo que pueda usarlos en este caso, pero estará bien saber la opinión de un experto.. ;)
Muchas gracias !!!
> Tenéis experiencia con http://www.chkrootkit.org/download/ ?? lo usaríais?
Yo lo estoy usando en un servidor. No es la panacea (sólo detecta ciertos tipos de rootkits) pero es una buena ayuda complementaria. Eso sí, conviene seguir las instrucciones de uso, especialmente lo relativo a usar binarios confiables a la hora de ejecutarlo (ver detalles en su FAQ).
Por otra parte, sobre el tema de los toolkits de análisis forense, aparte del clásico 'Coroners Toolkit' de Dan Farmer y Wietse Venema (reconocidos expertos de seguridad), está también sleuthkit. En la siguiente dirección tienes un mini-tutorial de uso y referencias a otras aplicaciones similares:
http://libertonia.escomposlinux.org/story/2005/3/25/01114/2594
Saludos. Iñaki.
Yo lo estoy usando en un servidor. No es la panacea (sólo detecta ciertos tipos de rootkits) pero es una buena ayuda complementaria. Eso sí, conviene seguir las instrucciones de uso, especialmente lo relativo a usar binarios confiables a la hora de ejecutarlo (ver detalles en su FAQ).
Por otra parte, sobre el tema de los toolkits de análisis forense, aparte del clásico 'Coroners Toolkit' de Dan Farmer y Wietse Venema (reconocidos expertos de seguridad), está también sleuthkit. En la siguiente dirección tienes un mini-tutorial de uso y referencias a otras aplicaciones similares:
http://libertonia.escomposlinux.org/story/2005/3/25/01114/2594
Saludos. Iñaki.
Te refieres a esto? ¿Qué se supone que hace exactamente?
Can I trust these commands on a compromised machine?
Koro
Can I trust these commands on a compromised machine?
Probably not. We suggest you follow one of the alternatives below:
- Use the `-p path' option to supply an alternate path to binaries you trust:
# ./chkrootkit -p /cdrom/bin
- Mount the compromised machine's disk on a machine you trust and specify a new rootdir with the `-r rootdir' option:
# ./chkrootkit -r /mnt
Koro
Sí, me refiero a eso. chkrootkit utiliza una serie de órdenes para poder llevar a cabo su cometido y si esas órdenes han sido comprometidas, no te puedes fiar de su ejecución y por tanto no te puedes fiar de la información que te da chkrootkit.
De ahí que sugieran tener los ejecutables de esas órdenes en un soporte de sólo lectura (como un CD-ROM, por ejemplo) y asegurarse de que se usan esos ejecutables.
En la misma FAQ te dicen un poco más arriba cuales son los binarios que necesita. De hecho, sería buena idea incluso tener el script de chkrootkit en el propio medio de sólo lectura, para evitar así que se manipule también. Claro que todo eso significa que cuando se actualizan las versiones de cualquiera de esas cosas hay que 'tostar' un nuevo CD, pero tampoco es un coste tan elevado.
Saludos. Iñaki.
De ahí que sugieran tener los ejecutables de esas órdenes en un soporte de sólo lectura (como un CD-ROM, por ejemplo) y asegurarse de que se usan esos ejecutables.
En la misma FAQ te dicen un poco más arriba cuales son los binarios que necesita. De hecho, sería buena idea incluso tener el script de chkrootkit en el propio medio de sólo lectura, para evitar así que se manipule también. Claro que todo eso significa que cuando se actualizan las versiones de cualquiera de esas cosas hay que 'tostar' un nuevo CD, pero tampoco es un coste tan elevado.
Saludos. Iñaki.
Agregando a lo de Iñaki, da por peligrosos la tabla de usuarios del sitio, ojo no levantes esos usuarios sin revisarlos, ademas, verifica en la tabla de administradores a que usuarios apuntan los indices y mira a ver si no modificaron los logs del Moodle, te puede indicar cuando entraron como admin o si realizaron el trabajo por fuera, revisa tambien los logs de la base de datos y cambia claves, y sino esta pon solo autorizacion como localhost el acceso a la misma.
en /var/log/apache2/moodle.imh.es
85.100.126.101 - - [10/Feb/2007:11:11:19 +0100] "GET / HTTP/1.1" 200 60 "http://www.zone-h.org/component/option,com_attacks/$2
88.229.192.102 - - [11/Feb/2007:22:58:00 +0100] "GET / HTTP/1.1" 200 60 "http://www.zone-h.org/component/option,com_attacks/$2
87.218.116.16 - - [12/Feb/2007:20:37:35 +0100] "GET / HTTP/1.1" 403 202 "http://www.zone-h.org/component/option,com_attacks/$8
87.218.116.16 - - [12/Feb/2007:20:55:02 +0100] "GET / HTTP/1.1" 403 202 "http://www.zone-h.org/component/option,com_attacks/$2
Si os fijáis estas dos últimas son de ayer, después de que hubiera subido la versión de Moodle a la 1.6.4, y parece que falla?? por el 403 digo...
Como podéis ver poca idea tengo de estos temas.. ;)
85.100.126.101 - - [10/Feb/2007:11:11:19 +0100] "GET / HTTP/1.1" 200 60 "http://www.zone-h.org/component/option,com_attacks/$2
88.229.192.102 - - [11/Feb/2007:22:58:00 +0100] "GET / HTTP/1.1" 200 60 "http://www.zone-h.org/component/option,com_attacks/$2
87.218.116.16 - - [12/Feb/2007:20:37:35 +0100] "GET / HTTP/1.1" 403 202 "http://www.zone-h.org/component/option,com_attacks/$8
87.218.116.16 - - [12/Feb/2007:20:55:02 +0100] "GET / HTTP/1.1" 403 202 "http://www.zone-h.org/component/option,com_attacks/$2
Si os fijáis estas dos últimas son de ayer, después de que hubiera subido la versión de Moodle a la 1.6.4, y parece que falla?? por el 403 digo...
Como podéis ver poca idea tengo de estos temas.. ;)
Jajaj.. acabo de caer.. el 403 es página no encontrada... y es normal , hemos quitado el moodle.imh.es de circulación, para evitar que nos puedan hacer de nuevo lo mismo... De momento estamos de pruebas, y no queremos que esté accesible, aunque ahora que lo pienso.. no sé yo.... es mejor que nos lo rompan cuando estamos de pruebas que cuando ya está en producción..
¿qué recomendáis?
¿qué recomendáis?
Esos registros no dicen nada especial. Simplemente se está pidiendo la página principal del sitio (y la petición viene redirigida desde zone-h), pero no son un ataque en sí.
Habría que mirar antes de esas líneas, porque para cuando aparecen esas líneas tu página ya ha sido hackeada y está 'registrada' en zone-h (de ahí que te 'envíen las visitas').
Saludos. Iñaki.
Habría que mirar antes de esas líneas, porque para cuando aparecen esas líneas tu página ya ha sido hackeada y está 'registrada' en zone-h (de ahí que te 'envíen las visitas').
Saludos. Iñaki.
Pero en ese mismo log o en algún otro log tengo que mirar?
En ese mismo. Pero puede que tu sistema haga rotación de logs (los datos más viejos los pone en otros ficheros, para que el actual no sea enormemente grande) y tengas que mirar en alguno de los ficheros rotados (suelen tener extensiones como .0, .1, etc. o si están comprimidos .1.gz, .2.gz, etc.).
Saludos. Iñaki.
Saludos. Iñaki.