Ataque

Juan Carlos Guel Lopez cguel en asc.unam.mx
Mie Ago 30 02:41:53 CDT 2000


-----BEGIN PGP SIGNED MESSAGE-----


On Tue, 29 Aug 2000, [iso-8859-1] Andrés M. Benavides wrote:

> Ok, ya reinstalé,.. y ya no quiero visitas =),... haciendo lo que me dices,
> busco el /etc/inetd.conf y no existe , tal vez no instalé lo que trae ese
> archivo, supongo que me salvo de algunas, respecto a lo del rpc tampoco lo
> encuentro lo único es en /etc/rpc y en /usr/include/rpc.

Hola Andres!!

La parte Tecnica del boletin, menciona las siguientes alternativas :

a) Actualizar la versi'on de rpc.statd
b) Desactivar el servicio rpc.statd
c) Desactivar los puertos necesarios en su Firewall

Extraido del URL:

http://www.asc.unam.mx

en la pr'actica, y esto muy amenudo en diversos incidentes a los cuales es
requerido el apoyo a personal del 'Area de Seguridad en C'omputo de la
UNAM, nos encontramos con  sistemas instalados con todos los servicios.

Considero que en la parte de los instaladores Linux se esta trabajando
arduamente en esta parte y poco a poco se va explicando a la gente para
que sirve cada servicio y se pregunta.

El problema radica en que por ocio o "Negligencia" tanto del administrador
del equipo 'este para evitarse los 30 minutos de estarse informando para
que sirve que y si es bueno o malo instalarlo, decide instalarlo por
default con todos los servicios y puertos abiertos.

Esto causa un gran problema para la gente de seguridad ya quenos dejan los
sitemas expuestos ante todos los "Script kiddies" que por lo gneral
realizan y llevan a cabo este tipo de ilicitos.

Ahora como lo menciona en el boletin, afortunadamente gente que trabaja
arduamente en el equipo de desarrolo como Alan Cox,  si mal no recuerdo
2-3 horas despues tenian el parche para esta vulnerabilidad y que la
encuentras en :

	* RedHat
	Para una informaci'on mas detallada de este problema que SI afecta
	los RED HAT, consultar 

	http://www.redhat.com/support/errata/RHSA-2000-043-03.html 

Ahora la parte por cubrir ser'ia ..

Ya tienes la info sabes que hacer... aplica los parches, con ello
minimizas tu sistema y lo expones al menos en esta vulnerabilidad al
minimo.

El siguiente paso es hacer la auditor'ia 'o "An'alisis forense" del caso.
si alguien te puede ayudar usca apoyo, ya que es una labor de detectar con
pinzas lo que afecto y fue afectado en tu s.

Te recomiendo un buen tutorial para esto que esta en :
http://www.asc.unam.mx/

en la seccion de tutoriales incluso en otros formatos.

Bien una vez llevada la parte Forense a cabo es necesario que midas el
dan~o en el sistema, sobre todo siendo muy cuidadoso de poder determinar
la "Existencia/ no existencia" de posibles puertas traseras, cuentas
abiertas, puertos ocultos, etc, etc.

Una vez analizado a conciencia el sistema y que hayas visto el grado de
penetraci'on en el mismo, procedes a la decisi'on que por lo general nunca
los SYSADMINS o responsables de la seguridad queremos.......

REINSTALAR/NO REINSTALAR

Despues de esto viene una larga sesion, tipo terapia, como cuando vas al
Psicologo haz de cuenta y la parte importante es aprender de este
incidente y sacarle provecho de la mejor manera para estar mejor prevenido
en un futuro.


> Entonces cómo puedo cerrar los puertos y dejar a un lado los servicios que no
> necesito si no tengo el inetd?

aver tu pregunta es como????

pues simplemente comentandolos con # y Listo....

Reinicias el servicio del inetd y listo.

OJO..

Dentro del tutorial que te menciono lineas arriba estan algunos de los
puertos mas usados y los posibles ataques en algunos casos.

Sobre todo muchas veces no sabemos para que sirve el echo, chargen, date,
etc, etc..... ahi podras encontar mucho mas al respecto...

Suerte!!

- --JC GUEL

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBOay6yZlW1rrzglhVAQFeTAgAyIeNW8lP+KyHXWBJj5H+wzNlZFnV/s1a
4yVca0P9Fx+lgnDVUjbc+HRcOSHAzcYtCgUOHeulzGnv5qnnfYCgHl3vNU509N6w
elcz8+qsMRG/99YsSLpIXk3hgJ5PnJJw8lGpMPrDWTMQc8AW0kWGRUlhiH7W5GnT
StLYUR0xQBgsPmyF+KZhvFSSj+kZyZpaNbkAUbuSUuzDM7oRzzJdn63p3iQzCP2V
Lo1for61nc9Ybs5lsMmxld/3iPtiLDx7CxaVlUd+eRYtgTJCbUDKme+D3SFduGjq
GV3CwcAZJd3psI6aQZ4tUyCgbmRrSIxDLPGnQz+VHm9Tm64U20zlFQ==
=OVe5
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx



Más información sobre la lista de distribución Ayuda