[Ayuda] Solicito consejo.....

Sandino Araico Sánchez sandino en sandino.net
Lun Ene 31 03:13:18 CST 2005 

Javier Delgado wrote:

>On Sat, 29 Jan 2005 22:34:57 -0600, leon wrote
>
>  
>
>>y que distro/version usas ? (importante la version)
>>    
>>
>
>
>Los servidores cobalt usan una version de SUN de Linux Slackware,
>
Órale, yo pensaba que se trataba de algo más cerrado.....
Slackware es bueno, pero ¿en qué versión de Slackware está basado tu 
CobaltOS?

> " Cobalt OS
>Release 6.0" , diseñada para manejarse a traves de una interfase web, aunque
>yo le instale Webmin 
>
Al instalar Webmin estás abriendo un agujero muy grande en la seguridad 
de tu sistema. Si tus políticas de acceso son malas o tienen algún error 
o si el webmin mismo tiene algún error lo que estás haciendo es 
brindarle acceso a cualquiera a que administre remotamente tu servidor.

>pues la interfase que tiene es algo limitada 
>
De hecho la interfaz web de administración de tu Cobalt podría tener 
alguna deficiencia que permita a otras personas administrar remotamente 
tu servidor, sobre todo si no está bién actualizada.

>(esta
>diseñada para que el usuario promedio no se emta con el sistema operativo).
>Tengo instalados todos los parches del sistema que ha publicado Sun hasta la
>fecha para su sistema.
>
>"Linux version 2.2.16C37_III (root en kbuild.sfbay.sun.com) (gcc version
>egcs-2.91.66 19990314/Linux (egcs-1.1.2 release)) #1 Sat Apr 12 14:54:32 PDT 2003"
>  
>
Eso es muy viejo. El kernel más reciente de la serie 2.2 es el 2.2.26.

>ademas tengo:
>
>kernel-headers-2.2.16C37_III-1
>webalizer-1.30.04-1
>openwebmail-2.10-20020917PM1
>CGI.pm-2.74-1
>perl-Text-Iconv-1.2-1
>openssh-3.9p1-1
>openssh-clients-3.9p1-1
>openssh-server-3.9p1-1
>MySQL-3.23.54-1
>MySQL-client-3.23.54-1
>MySQL-devel-3.23.54-1
>MySQL-shared-3.23.54-1
>perl-DBI-1.14-1
>perl-Msql-Mysql-modules-1.2214-1
>perl-Net-SSLeay-1.05-5
>perl-Mon-0.9-3
>webmin-1.170-1
>  
>
La versión más reciente de webmin es la 1.180 y entre lo más relevante 
del Changelog se encuentran cambios para evitar ataques de fuerza bruta 
para adivinar el password; ésto significa que en la versión 1.170 que tu 
tienes se puede usar una técnica de fuerza bruta para adivinar el 
password y si tu password no es muy bueno esa operación podría tardar 
minutos.

Aunque otra probabilidad es que sea una de tus aplicaciones de web la 
que esté vulnerable (SQL Injection, Code Injection...) y esa sea la 
puerta de entrada que le esté dando acceso al intruso a tu máquina. Lo 
que puedes hacer es reforzar las políticas de acceso de tu servidor 
Apache y de tu PHP  para que no se   puedan salir del DocumentRoot de 
cada sitio; ahora que si las vulnerabilidades las tienes en un CGI pues 
ahí si ya te la pelaste (porque tienes acceso a un intérprete 
(/usr/bin/perl por lo general) y ese intérprete tiene acceso al resto 
del sistema), o quitas el CGI vulnerable o te la seguirán metiendo. Lo 
que podrías hacer tal vez es uar mod_perl para ejecutar los cgi y ahí 
restringir el acceso a los hosts virtuales para que no se puedan salir 
de su DocumentRoot.

>El servidor lo administro remotamente.. (esta localizado en Virginia- EU) ...
>  
>
¿Tienes control sobre el firewall de la máquina para que puedas 
restringir los segmentos de direcciones IP que pueden administrar la 
máquina?
Definitivamente creo que jamás te vas a conectar a esa máquina para 
administrarla desde Brasil o desde China, así que puedes tirar las 
conexiones a tu Webmin de todos los segmentos y quedarte sólamente con 
los de México y el del NOC de tu proveedor. Con eso te vas a deshacer de 
muchos script kiddies aunque debes seguir teniendo en cuenta que si tu 
puedes administrar tu máquina remotamente tienes el potencial de que 
otra persona también lo haga.

Además, si ya te penetraron una vez es posible que el intruso te haya 
dejado un backdoor así que una reinstalada desde cero (con nuevas 
políticas más restrictivas) no le vendría mal a tu máquina.

Pero mi personal punto de vista sigue siendo que te deshagas de ese 
Cobalt y te consigas un Linux verdadero con el que vas a tener mucho más 
control y te puede salir mucho más barato. Además de que algunos 
proveedores te dan páneles control más profesionales (aunque 
propietarios) como Cpanel o Ensim.

>Sirve esta informacion?
>
>Javier Delgado
>
>
>
>
>
> 
>_______________________________________________
>Ayuda mailing list
>Ayuda en linux.org.mx
>Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
>  
>


-- 
Sandino Araico Sánchez
-- ... there's no spoon ...


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda