![](https://seccdn.libravatar.org/avatar/ac3777f8ff78e2984d6209281baab0c0.jpg?s=120&d=mm&r=g)
Hola, Alguien sabe si existen RPM para SuSe 9.0 y/o Suse 9.2 de estas dos aplicaciones ??? San Google no me las encuentra y en los sitios habituales no las he visto para Suse. Y puestos a pedir, un antivirus RESIDENTE para Suse o "algo" para monitorizar un determinado directorio del sistema, para ser más exactos el directorio /tmp Y puestos a pedir algo más, puedo poner el shell del usuario nobody a /bin/false sin que eso perjudique el sistema ???? -- Salutacions - Saludos, Josep M. Queralt
![](https://seccdn.libravatar.org/avatar/861b5545c111d2257fa12e533e723110.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-13 a las 20:51 +0200, Josep M. Queralt escribió:
Alguien sabe si existen RPM para SuSe 9.0 y/o Suse 9.2 de estas dos aplicaciones ???
No las conozco.
Y puestos a pedir, un antivirus RESIDENTE para Suse
No existe eso de residente en linux, ni en unix. Eso es un concepto de msdos, que no tenía multitarea.
o "algo" para monitorizar un determinado directorio del sistema, para ser más exactos el directorio /tmp
¿Para que? La unica utilidad es verificar directorios servidos por samba a máquinas windows. Se hace, por ejemplo, con el modulo dazuko del kernel, parte del antivirus de H+BEDV Datentechnik Gmb. No se si hay otro que lo haga, pero si oí hablar de ese modulito. Pero el directorio /tmp :-?
Y puestos a pedir algo más, puedo poner el shell del usuario nobody a /bin/false sin que eso perjudique el sistema ????
Ambas cosas no, porque si lo perjudicarás. Hay algunas cosas que los scripts del sistema corren bajo ese usuario: me viene a la cabeza updatedb. Cuando se quiere que algo se ejecute sin privilegios, se hace con ese usuario precisamente. Lo que si puedes hacer es evitar que gente de fuera lo use por red, pero eso creo que está así por defecto. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDTv2stTMYHG2NR9URAj4jAJ9qw3RQAHs7B2zEewiVFaeeCmUT8ACeN54R 65qJEOeqNtNrxPFAO2BPKUs= =u4Au -----END PGP SIGNATURE-----
![](https://seccdn.libravatar.org/avatar/ac3777f8ff78e2984d6209281baab0c0.jpg?s=120&d=mm&r=g)
On Fri, 14 Oct 2005 02:36:57 +0200 (CEST) "Carlos E. R." <robin1.listas@tiscali.es> wrote: robin1.listas> > Alguien sabe si existen RPM para SuSe 9.0 y/o Suse 9.2 de estas dos robin1.listas> > aplicaciones ??? robin1.listas> robin1.listas> No las conozco. Me lo temía. :-( robin1.listas> > Y puestos a pedir, un antivirus RESIDENTE para Suse robin1.listas> robin1.listas> No existe eso de residente en linux, ni en unix. Eso es un concepto de robin1.listas> msdos, que no tenía multitarea. Cosas de la edad. Dicho de otra manera. Un proceso en memoria que detecte y/o intercepte código vírico que entre en el sistema robin1.listas> > o "algo" para robin1.listas> > monitorizar un determinado directorio del sistema, para ser más exactos robin1.listas> > el directorio /tmp robin1.listas> robin1.listas> ¿Para que? Me parece que ya habia dado muchas pistas. :-) Para evitar inyecciones SQL en el sistema. Hasta ahora las intrusiones de este tipo que había visto no habían afectado al sistema de forma estricta. Añadían administradores a una determinada aplicación y/o conseguían variar el contenido de alguna página. Normalmente esta incidencia solo se producía en determinado tipo de aplicaciones escritas en PHP con una deficiente programación, y cito a PHP-Nuke solo a título de ejmplo, pero hay más, aunque no tan populares. Sin embargo este fin de semana pasado me encontré con algo nuevo, o al menos era nuevo para para mi. La inyección consiguió colocar un backdoor linux ("r0nin" llamado también PsychoPhobia Backdoor) en el sistema. Los daños fueron relativamente limitados dado que este "bicho" usa Telnet para comunicarse y, por suerte, en ese sistema, por cuestiones de prudencia, Telnet no estaba habilitado. Hay más bichos parecidos, algunos usan SSH en lugar de Telnet, cogen permisos del usuario "nobody" y se instalan en /tmp y a partir de ahí lanzan los procesos que se les indique o invitan a sus primos mediante "wget". También pueden cambiar de usuario y por ejemplo lanzar procesos de "spam" al servidor de correo mediante el usuario "wwwrun". robin1.listas> > Y puestos a pedir algo más, puedo poner el shell del usuario nobody a robin1.listas> > /bin/false sin que eso perjudique el sistema ???? robin1.listas> robin1.listas> Ambas cosas no, porque si lo perjudicarás. Hay algunas cosas que los robin1.listas> scripts del sistema corren bajo ese usuario: me viene a la cabeza robin1.listas> updatedb. Cuando se quiere que algo se ejecute sin privilegios, se hace robin1.listas> con ese usuario precisamente. Lo que si puedes hacer es evitar que gente robin1.listas> de fuera lo use por red, pero eso creo que está así por defecto. El problema es que, quien escoge el usuario necesita privilegios de ejecución aunque solo sea en el directorio "/tmp". :-) Por eso pensaba en "algo" para interceptar o, mal menor, limitar los privilegios en ese directorio. -- Salutacions - Saludos, Josep M. Queralt
![](https://seccdn.libravatar.org/avatar/861b5545c111d2257fa12e533e723110.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-14 a las 09:12 +0200, Josep M. Queralt escribió:
robin1.listas> No las conozco.
Me lo temía. :-(
Oye, ¡que eso no es concluyente! :-) Si que existe un "/usr/bin/pmlogcheck", "/usr/bin/dh_installlogcheck", que se parecen, y puede que sea lo que buscas, según el resto de tu mensaje. Y también hay una referencia a "/usr/share/nagios/docs/int-portsentry.html".
Cosas de la edad. Dicho de otra manera. Un proceso en memoria que detecte y/o intercepte código vírico que entre en el sistema
Pero es que el problema que tratas de solucionar no son virus, no te va a arreglar nada, por tanto. El problema son agujeros en el PHP que permiten, posiblemente a script kiddies, entrarte. Lo primero es asegurar el sistema, y aquí hay gente bastante más experta que yo que te podrán aconsejar. En el manual de administración de SuSE hay un capítulo. Luego hay herramientas. Tienes snort, para ver patrones de "coladuras" en la red. Tienes programas como "aide" o "Tripwire" para buscar cambios en ejecutables y ficheros criticos - pero la base de datos debe ser externa, incluso quizás la aplicación, en un disquete protegido de escritura, por ejemplo. Tienes aplicaciones para comprobar rootkits, como chkrootkit (http://www.chkrootkit.org/, y en el dvd)
robin1.listas> > o "algo" para robin1.listas> > monitorizar un determinado directorio del sistema, para ser más exactos robin1.listas> > el directorio /tmp robin1.listas> robin1.listas> ¿Para que?
Me parece que ya habia dado muchas pistas. :-)
No caí, pensaba en viruses :-)
Hay más bichos parecidos, algunos usan SSH en lugar de Telnet, cogen permisos del usuario "nobody" y se instalan en /tmp y a partir de ahí lanzan los procesos que se les indique o invitan a sus primos mediante "wget". También pueden cambiar de usuario y por ejemplo lanzar procesos de "spam" al servidor de correo mediante el usuario "wwwrun".
Ya... entonces, lo suyo es investigar por donde ha entrado cada uno y reportarlo, para que cierren el agujero. SuSE si le da importancia a los agujeros de seguridad, hay una lista expresamente dedicada a eso. Y quizás te merezca la pena la sles.
El problema es que, quien escoge el usuario necesita privilegios de ejecución aunque solo sea en el directorio "/tmp". :-)
Ejecutables en tmp me parece que se considera un agujero de seguridad. Podrías montar la partición /tmp aparte con el flag "noexec", eso es un truco. Lo que no se es si eso puede romper agún script, pero podrías modificarlos en ese caso.
Por eso pensaba en "algo" para interceptar o, mal menor, limitar los privilegios en ese directorio.
¿acl? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDT7i4tTMYHG2NR9URAgxvAJ0VnBYlcWkoYZAnSdqNGpiZeb24hgCgjqSU MQPEaC4pC/bW6xucz6k40rE= =GAcl -----END PGP SIGNATURE-----
![](https://seccdn.libravatar.org/avatar/ac3777f8ff78e2984d6209281baab0c0.jpg?s=120&d=mm&r=g)
On Fri, 14 Oct 2005 15:54:53 +0200 (CEST) "Carlos E. R." <robin1.listas@tiscali.es> wrote: robin1.listas> Ya... entonces, lo suyo es investigar por donde ha entrado cada uno y robin1.listas> reportarlo, para que cierren el agujero. SuSE si le da importancia a los robin1.listas> agujeros de seguridad, hay una lista expresamente dedicada a eso. Entran a través de la típica inyección SQL, pero no puedo correr PHP en Safe_Mode ni tampoco modificar los "globals" en el php. Cosas de los servidores webs .... No es pues propiamente un problema de SuSe ya que se ejecutarían igual en un Debian o en un Fedora por decir algo. Como todo evoluciona, lo que antes era añadir un administrador en una determinada aplicación PHP o cambiar una determinada página, ahora se está convirtiendo en algo más serio y han aprendido a entrar "backdoors" y eso puede llegar a comprometer seriamente un servidor, y como todo tiene un precio, fundamentalmente el servidor de correo. Para saber el PHP concreto por donde se ha colado tendré que esperar el próximo ataque, el hijo de p*ta era brasileño y con la diferencia horaria cuando lo descubrí el access_log de Apache ya había rotado. Pero para cuando vuelva, si no me "como" el disco antes, aún tendré tiempo de echar siesta y todo. robin1.listas> robin1.listas> Y quizás te merezca la pena la sles. En ese, en ese ha entrado. Un 9.0. robin1.listas> Podrías montar la partición /tmp aparte con el flag "noexec", En la primera inyección suben el "backdoor" y en la segunda hacen chmod 777. robin1.listas> truco. Lo que no se es si eso puede romper agún script, pero podrías robin1.listas> modificarlos en ese caso. Muchos de los "scripts" no dependen de mi. robin1.listas> > Por eso pensaba en "algo" para interceptar o, mal menor, limitar los robin1.listas> > privilegios en ese directorio. robin1.listas> robin1.listas> ¿acl? Lo buscaré en Google. :-) Mientras tanto tengo bloqueados los accesos de 200.233.128.0/18 Pero claro, con solo usar un proxy que no sea brasileño en el navegador se acaba el bloqueo. :-) -- Salutacions - Saludos, Josep M. Queralt
![](https://seccdn.libravatar.org/avatar/55b86771ee4623ebeadeff36f029a44f.jpg?s=120&d=mm&r=g)
El 14/10/05, Josep M. Queralt escribió:
Entran a través de la típica inyección SQL, pero no puedo correr PHP en Safe_Mode ni tampoco modificar los "globals" en el php. Cosas de los servidores webs ....
Josep, Echa un vistazo a este hilo de Barrapunto (también de Brasil): Intento de hackeo de mi servidor http://barrapunto.com/journal.pl?op=display&uid=6610&id=16953 Saludos, -- Camaleón
![](https://seccdn.libravatar.org/avatar/ac3777f8ff78e2984d6209281baab0c0.jpg?s=120&d=mm&r=g)
On Fri, 14 Oct 2005 17:22:29 +0200 Camaleón <noelamac@gmail.com> wrote: noelamac> noelamac> Echa un vistazo a este hilo de Barrapunto (también de Brasil): noelamac> noelamac> Intento de hackeo de mi servidor noelamac> http://barrapunto.com/journal.pl?op=display&uid=6610&id=16953 Pues vaya, estás en todo :-) 1) Parece que no he bloqueado el pais entero y que me he dejado rangos. 2) Buena idea cambiarle el nombre al wGet. 3) Desgraciadamente mi Apache rotaba cada 6 horas, por lo que no puede analizar el access_log, aunque muy en el fondo me alegro, son decenas de megas. 4) En el error_log de Apache no supe ver nada de interés, lo repasaré otra vez, desde 10 días antes del ataque. 5) Las versiones vulnerables de phpBB ya las hice cambiar, so pena de ser borradas, cuando se publicó el problema específico. 6) Las versiones de php-Nuke aparentemente están en orden y todas ellas están parcheadas. Tengo pesadillas solo de pensar que el script vulnerable puede estar hecho en Perl o Java. :-) -- Salutacions - Saludos, Josep M. Queralt
![](https://seccdn.libravatar.org/avatar/861b5545c111d2257fa12e533e723110.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-14 a las 17:08 +0200, Josep M. Queralt escribió:
Como todo evoluciona, lo que antes era añadir un administrador en una determinada aplicación PHP o cambiar una determinada página, ahora se está convirtiendo en algo más serio y han aprendido a entrar "backdoors" y eso puede llegar a comprometer seriamente un servidor, y como todo tiene un precio, fundamentalmente el servidor de correo.
Pues eso es la utilidad de tener los servidores en maquinas distintas, para evitar que un agujero en una aplicación comprometa otro servicio distinto.
robin1.listas> Y quizás te merezca la pena la sles.
En ese, en ese ha entrado. Un 9.0.
Ah, vaya... pues entonces a los de suse les interesará más ;-)
robin1.listas> Podrías montar la partición /tmp aparte con el flag "noexec",
En la primera inyección suben el "backdoor" y en la segunda hacen chmod 777.
Por mucho chmod, si la partición es no exec, no pueden ejecutar nada. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDT+bFtTMYHG2NR9URAqKnAJ9crlIQRksVCBZAbEBt8KVZieAIHwCglDfJ g6v5XNVdDUMVn43FmfdXfOo= =4oST -----END PGP SIGNATURE-----
![](https://seccdn.libravatar.org/avatar/ac3777f8ff78e2984d6209281baab0c0.jpg?s=120&d=mm&r=g)
Pues eso es la utilidad de tener los servidores en maquinas distintas, para evitar que un agujero en una aplicación comprometa otro servicio distinto.
Daría exactamente igual. A la que el "backdoor" está dentro "suplanta" a wwwrun y como este puede mandar correo .... -- Salutacions - Saludos, Josep M. Queralt
![](https://seccdn.libravatar.org/avatar/861b5545c111d2257fa12e533e723110.jpg?s=120&d=mm&r=g)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-14 a las 22:26 +0200, Josep M. Queralt escribió:
Daría exactamente igual. A la que el "backdoor" está dentro "suplanta" a wwwrun y como este puede mandar correo ....
Oops. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDUDwitTMYHG2NR9URAkBLAJwPwiQPwTc5dvE93avjLSqfZgUHYgCggakn QKuDh9u1SrThNoy9YVkS1BI= =vggf -----END PGP SIGNATURE-----
![](https://seccdn.libravatar.org/avatar/f5fd0ca88acdd335aa7b8d4916dd1937.jpg?s=120&d=mm&r=g)
El 14/10/05, Josep M. Queralt<jmqueralt@pobox.com> escribió:
On Fri, 14 Oct 2005 15:54:53 +0200 (CEST) "Carlos E. R." <robin1.listas@tiscali.es> wrote:
robin1.listas> Ya... entonces, lo suyo es investigar por donde ha entrado cada uno y robin1.listas> reportarlo, para que cierren el agujero. SuSE si le da importancia a los robin1.listas> agujeros de seguridad, hay una lista expresamente dedicada a eso.
Entran a través de la típica inyección SQL, pero no puedo correr PHP en Safe_Mode ni tampoco modificar los "globals" en el php. Cosas de los servidores webs ....
q quieres q le diga ???? se no puedes configurar vuestro servidor de manera segura, esta mas q normal q el sea local de encuentro de los "chacales" de la internet !!! :-( q haras ahora q global sera eliminada por completo de PHP5 ??? y por cierto.. no son cosas de los "servidores webs"... son cosas de los administradores !!!! salu2 y y mis pesames !!! -- -- Victor Hugo dos Santos Linux Counter #224399
![](https://seccdn.libravatar.org/avatar/ac3777f8ff78e2984d6209281baab0c0.jpg?s=120&d=mm&r=g)
El 14/10/05, Josep M. Queralt<jmqueralt@pobox.com> escribió:
Entran a través de la típica inyección SQL, pero no puedo correr PHP en Safe_Mode ni tampoco modificar los "globals" en el php. Cosas de los servidores webs ....
q quieres q le diga ????
Pues si no tienes nada que decir ....
se no puedes configurar vuestro servidor de manera segura, esta mas q normal q el sea local de encuentro de los "chacales" de la internet !!! :-(
Este servidor tiene el mismo nivel de seguridad que cualquier otro y las configuraciones desgraciadamente dependen más de los usuarios que en definitiva son los que pagan (gracias a ellos cobro) que no de mis gustos o paranoias particulares. Desgraciadamente hay que mantener un equilibrio. Por supuesto yo viviría mucho más tranquilo (y supngo que cobrando lo mismo) dejando ejecutar únicamente HTML puro y duro y quitando el Perl y el PHP. Y para el correo regalaría a los clientes una cuenta gratuita en cualquier otro servidor. :-)
q haras ahora q global sera eliminada por completo de PHP5 ???
Yo no haré nada, cuando me digan que instale PHP5 mandaré un correo a los usuarios del server y les daré un plazo para actualizar sus scripts y punto.
y por cierto.. no son cosas de los "servidores webs"... son cosas de los administradores !!!!
Depende del tipo de agujero. Al decir "cosas de los servidores webs" me refería a que hay que atender a las necesidades de los clientes y si estos quieren que les suban ficheros por PHP pues hay que mantener safe_mode a off. (por ejemplo)
salu2 y y mis pesames !!!
Gracias.
-- -- Victor Hugo dos Santos ...........................^^^^^^^^^^ No seras brasileño verdad ?
-- Salutacions - Saludos, Josep M. Queralt
participants (4)
-
Camaleón
-
Carlos E. R.
-
Josep M. Queralt
-
Victor Hugo dos Santos