blackgem escribió:Yo si te recuerdo de algo
.
Jo, pues yo no...
![[mamaaaaa]](/images/smilies/nuevos/triste_ani4.gif "llorica")
pero es que eso fue hace muchos años. Creo que dejé de ser usuario activo allá por el 2005. En fin...
He intentado revisar sí, pero no soy muy ducho en seguridad. Le echaré un vistazo a ver si sugieren algo que yo no haya hecho. En cualquier caso, el problema es que del 22 de octubre, ya no se guardan prácticamente logs de nada. Date cuenta de que esto pasó el 22 de octubre (al menos esa era la fecha de última modificación del archivo de crontab del usuario en cuestión) y yo vine a curiosear prácticamente dos meses después.
auth.log, por ejemplo, que es al primero que uno echa mano no guardaba información de tanto tiempo. Tampoco hay registros ya del acceso a vsftpd. En realidad, saber qué pasó es ya imposible con la información que hay disponible: el problema es que no me explico ningún medio para el ataque, suponiendo que se realizase a través de ftp (que es lo único que veo posible).
blackgem escribió:Pueden acceder al sistema de mil maneras, si como comentas tienes un dominio con mil servicios accesibles desde el exterior entre los que se encuentra el acceso remoto... puede haber mil opciones. Pero ese usuario si accede al sistema, también tiene mil opciones, un ftp permite subir archivos, archivos que podrían tal vez visualizarse o incluso ejecutarse (no especificas si el ftp es de su /home cerrada o por ej permite también a la parte de acceso web para visualizar lo que sube).
Sí, hay varios modos de acceder: ssh, correo (smtp e imap), http, dns y ftp. http, smtp, imap y dns no ejecutan (o eso creo) ningún proceso a nombre del usuario que accede a ellos. Por ejemplo, si el contagio hubiera procedido de http, el descosido lo hubiera hecho
www-data (hay bastante php funcionando:mediawiki, joomla, moodle, wordpress y unos cuantos scripts propios). Además, este usuario no usa el correo. Quedan ssh y ftp a mi juicio. ssh no lo ha usado: él lo ha dicho y, además, me metí en su perfil y comprobé que efectivamente no quedaba rastro de que hubiera accedido alguna vez.
En cuanto al ftp (sftp creo que tampoco lo usa), tiene todas las papeletas, porque este sí lo usa. El usuario NO esta enjaulado: hay un tipo de usuarios (alumnos) que sí, pero otros (los profesores), no.
Y ahora que me lo dices sí que se me ocurre un medio posible de que haya llegado ese fichero ahí sin necesidad de ejecutar nada: que fuera subido por ftp: no hay que ejecutar nada, sólo subirlo al lugar adecuado. Sin embargo, si reviso el directorio /var/spool/cron/crontab (en otra máquina linux, porque ahora mismo no tengo acceso al servidor de marras) veo que tiene permisos:
drwx-wx--T root crontab
O sea que no, si en el servidor los permisos son los mismos (cosa que imagino) el usuario no tiene permisos para crear nada en ese directorio y, por tanto, no podrá haber subido el fichero a ese sitio.
De hecho cada usuario puede editar su crontab porque crontab tiene habilitado el bit setuid:
$ ls -l `which crontab`
-rwxr-sr-x 1 root crontab 35880 jul 3 2012 /usr/bin/crontab
blackgem escribió:Ademas, debes tener en cuenta que si una amenaza prospera mucho tiempo y no se tienen ciertas medidas de seguridad para evitar ataques de fuerza bruta te acabaran colando algo tarde o temprano.
Quizás esta no prosperase, porque rkhunter no me ha cantado nada.
blackgem escribió:Otras vulnerabilidades típicas pueden ser de java, pdf o flash... aunque si es un server no creo que ejecuten pdf o flash...
No hay instalado entorno gráfico.
blackgem escribió:pero al ser un server PXE, si este sirve clientes todo es posible pues al fin y al cabo significa que todos esos usuarios están trabajando en el servidor.
No es un servidor de terminales tontas, es simplemente un servidor pxe: sirve sistemas operativos en red que se ejecutan en el cliente: por ejemplo, gparted o clonezilla (pero una versión que modifiqué, porque el clonezilla server está pensado para que sólo se ejecute él).
En fin, no tengo ni idea. Creo que la única puerta de entrada posible es FTP, pero no me explico cómo puede llegar a escvribirse la tarea en el crontab del usuario.
![[+furioso]](/images/smilies/nuevos/furioso.gif "muy furioso")
