Laptop - SEGURIDAD VIOLADA

Iniciado por G0d_50n, 19 Marzo 2011, 09:30 AM

0 Miembros y 2 Visitantes están viendo este tema.

G0d_50n


Hola

Antes que nada agradezco la colaboracion, :rolleyes:  aver si me explico lo mas claramente posible. el problema que se me esta presentando es de algun fallo de vulnerabilidad en cuanto al sistema operativo o algo similar ya que creo tener bien configurado el cortafuegos con algunas normativas extras pero aun asi e recivido un ataque el cual e podido controlar cancelando la conexion y bloqueando su ip. busque en los logs y bueno para mi sorpresa no habia registro de algun ingreso por lo que creo que pudo ser mediante alguna tecnica de suplantacion de identidad diferente de (spoofing o envenenamiento de arp) ya que el iptable esta configurado para evitar este tipo de ataques ademas tengo configurado una alarma si alguien se logra conectar a mi laptop pero dicha alarma no sono y deberia cerrar la conexion inmediatamente,  lo que posiblemente el ataque pudo ser ocacionado mediante paquetes ocultos camuflados con los de mi navegacion normal.

Momento del ataque:

En ese momento los registros del cortafuegos de mi laptop entraron en alerta roja, con escaneo de puertos y ataques a puertos espesificos bloqueados por mi cortafuegos, lo que inmediantamente me llevo a tomar medidas, e iniciar un contrataque, para por lo menos determinar el origen verdadero del atacante, lo que me llevo a investigar con algunos sniffers y comandos de mi linux, lo cual a primera vista parecia ser un solo ordenador pero que despues de otros analicis parecian ser barios ordenadores pasando por uno solo, lo cual me llevo a la Conclusión de que posiblemente el atacante estaba utilizando un condon, osea navegando anonimamente mediante el filtro de barios pc.
Cuando pense que todo habia terminado ya que el cortafuegos no mostro mas registros de ataque, revisando los logs no salio nada, pero al revisar mi cuenta root me di cuenta de que habia accedido a mi laptop, ya q alli llacia una cuenta shell la cual estaba recien orneada, acabada de crear, pero bueno lo importante es que no duro mucho, inmediatamente la borre  pero lo cual me puso a pensar como lo habia conseguido, pero bueno alli no acaba, tambien me di cuenta que habia cambiado una normativa de mi cortafuego permitiendole  a su ordenador el acceso directo, lo cual me llevo a analizar todo el sistema en busca de algun rastro que me pudiera indicar la caida del mismo, sin exito alguno, lo que si realice inmediatamente fue borrar todo rastro de el atacante y re organizar el sistema de seguridad de mi laptop, como mencione anteriormente borrando la shell remota, y la normativa de acceso, ademas de algunas configuraciones extra como la alarma y denegacion de cualquier conexion via telnet o de protocolo udp.




Bueno la duda es que si consiguio entrar a mi pc y realizar esto tal ves lo consiga nuevamente sin q mi cortafuegos lo registre ni la (w) ni (last) y tampoco el (netstat) pero como puede ser esto posible?
bueno como siempre lo e pensado siempre va a ver alguien mucho mejor que tu.

Bueno la verdad no se como lo aria pero si me queda la gran duda de si lo ara nuevamente. Si alguien sabe como a conseguido esto les agradeceria me explicaran para poder prevenir futuros ataques de esta magnitud.

A continuacion les dejo algunos datos los cuales creo que son de importancia para el diagnostico.

Algunos de mis datos:
*Sistema operativo:  Linux G0d_50n-laptop 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686 GNU/Linux
*CORTAFUEGOS: iptable - (firestarter)


DATOS DEL ATACANTE:

Bueno la verdad no se si se puedan colocar los datos como la ip y mis otras investigaciones ya q podrian remover el post, pero si los admins me aurizan a colocar los datos del atacante con gusto lo are.

lo q si coloco es q proviene de: (akamaitechnologies.com) lo cual no posee ninguna pagina web, lo q hace referencia al servicio de internet del atacante.

:-( agradezco si alguien me asesora un poco o me colabora a tratar de parchar mi seguridad

De antemano gracias.


ATT: G0d_50n
"Por calles y avenidas la sabiduria hace oir su voz, proclama sus palabras por las puertas, por los puntos mas concurridos de la ciudad, jovenes inexpertos, burlones y necios, ¿hasta cuando amaran la inexperiencia, y hallaran placer en sus burlas y despreciaran el saber?

DICHOSO EL QUE haya SABIDURIA, EL QUE OBTIENE INTELIGENCIA

http://www.segurityhacker.es.tl

Garfield07

Vaya, buen análisis por tu parte ;)

Lo primero es ver qué servicios tiene tu máquina dirigiendo al exterior. Si hay alguno vulnerable puede que haya accedido por él aunque no veas nada (reutilización de socket, limpieza de logs... hay formas ;)). Te recomendaría que mirases qué datos ofreces a un posible atacante, y que vieses por qué servicio ha conseguido acceder. Busca posibles vulnerabilidades conocidas en tu sistema, no creo que haya encontrado una vulnerabilidad sólo para atacar tu sistema. Aparte, como digo a continuación no tenemos ni idea del nivel del intruso, pero es extraño dejar puertas traseras...
El detalle sería que no suele ser muy inteligente dejar puertas traseras en un sistema que sabes es tan protegido, pues serán rápidamente eliminadas. Es algo que me confunde, ya veremos ;)

Otra posibilidad es que haya sido un ataque no tan externo. Piensa si has notado algo extraño en tu sistema o en alguien. Sería mucho más fácil todo, y sería más lógico crear una puerta trasera en este caso. Hay cientos de posibilidades.

En resumen, te comento que...
1) Comprueba los servicios que corre tu sistema y la información que ofreces al exterior.
2) Mira en los logs algo anormal, como un salto de línea equivocado... Cosas que no saltan a la vista.
3) Piensa si has notado algo extraño en tu equipo o en alguien que haya podido acceder a él.

PS1: Aparte, si tienes suficientes datos te recuerdo que este tipo de hacking es completamente ilegal (a veces por desgracia), así que podrías (si ves que es algo grave) acudir a la policía.
PS2: No vendría mal una mayor explicación de tu sistema (servicios, uso que le das, etcétera)
PS3: No soy un ingeniero diplomado en seguridad informática, otros te podrían ayudar mejor.
Un saludo. Sagrini


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

G0d_50n

Bueno en cuanto a un acceso fisico no creo ya q para acceder al pc nesesitan contraseña bios y contraseña del sistema, lo que llevaria a un informatico forence encargarce de la accion pero nadie q yo sepa a introducido sus garras en mi pc de forma fisica jejjeje, bueno continuando con q muestro de info de mi pc en internet  aca coloco algunas configuraciones estandar del sistema, bueno asi es como yo lo tengo.
#-----------( Firestarter Configuration File )-----------#

# --(External Interface)--
# Name of external network interface
IF="eth2"
# Network interface is a PPP link
EXT_PPP="on"

# --(Internal Interface--)
# Name of internal network interface
INIF="eth0"

# --(Network Address Translation)--
# Enable NAT
NAT="off"
# Enable DHCP server for NAT clients
DHCP_SERVER="off"
# Forward server's DNS settings to clients in DHCP lease
DHCP_DYNAMIC_DNS="on"

# --(Inbound Traffic)--
# Packet rejection method
#   DROP:   Ignore the packet
#   REJECT: Send back an error packet in response
STOP_TARGET="DROP"

# --(Outbound Traffic)--
# Default Outbound Traffic Policy
#   permissive: everything not denied is allowed
#   restrictive everything not allowed is denied
OUTBOUND_POLICY="permissive"

# --(Type of Service)--
# Enable ToS filtering
FILTER_TOS="on"
# Apply ToS to typical client tasks such as SSH and HTTP
TOS_CLIENT="on"
# Apply ToS to typical server tasks such as SSH, HTTP, HTTPS and POP3
TOS_SERVER="on"
# Apply ToS to Remote X server connections
TOS_X="on"
# ToS parameters
#   4:  Maximize Reliability
#   8:  Maximize-Throughput
#   16: Minimize-Delay
TOSOPT=4

# --(ICMP Filtering)--
# Enable ICMP filtering
FILTER_ICMP="on"
# Allow Echo requests
ICMP_ECHO_REQUEST="off"
# Allow Echo replies
ICMP_ECHO_REPLY="off"
# Allow Traceroute requests
ICMP_TRACEROUTE="off"
# Allow MS Traceroute Requests
ICMP_MSTRACEROUTE="off"
# Allow Unreachable Requests
ICMP_UNREACHABLE="off"
# Allow Timestamping Requests
ICMP_TIMESTAMPING="off"
# Allow Address Masking Requests
ICMP_MASKING="off"
# Allow Redirection Requests
ICMP_REDIRECTION="off"
# Allow Source Quench Requests
ICMP_SOURCE_QUENCHES="off"

# --(Broadcast Traffic)--
# Block external broadcast traffic
BLOCK_EXTERNAL_BROADCAST="on"
# Block internal broadcast traffic
BLOCK_INTERNAL_BROADCAST="on"
# --(Traffic Validation)--
# Block non-routable traffic on the public interfaces
BLOCK_NON_ROUTABLES="on"

# --(Logging)--
# System log level
LOG_LEVEL=info


y gracias por la respuesta, por ahora sigo mirando en busca de algun bug o algo parecido aun q no e recivido mas ataques de parte de esta persona.
"Por calles y avenidas la sabiduria hace oir su voz, proclama sus palabras por las puertas, por los puntos mas concurridos de la ciudad, jovenes inexpertos, burlones y necios, ¿hasta cuando amaran la inexperiencia, y hallaran placer en sus burlas y despreciaran el saber?

DICHOSO EL QUE haya SABIDURIA, EL QUE OBTIENE INTELIGENCIA

http://www.segurityhacker.es.tl

Garfield07

Eso no sirve para nada, son tus configuraciones. Ahora respóndeme a mis preguntas:
Citar
En resumen, te comento que...
1) Comprueba los servicios que corre tu sistema y la información que ofreces al exterior.
2) Mira en los logs algo anormal, como un salto de línea equivocado... Cosas que no saltan a la vista.
3) Piensa si has notado algo extraño en tu equipo o en alguien que haya podido acceder a él.
1) Dime los servicios que corren en tu sistema de cara al exterior.
2) Dime si en los logs hay algo anormal.
3) Dime si alguien ha entrado en tu sistema.

Pasa el antivirus, mira las conexiones que tienes abiertas... No vale un fichero de configuración!!!

¿Has hecho algo de lo que he dicho?
Sagrini


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

G0d_50n

Hola que pena con la demora, si ya e mirado y puede ser que se colo por el ares o el emule, en cuanto a los logs como ya mencione no sale nada solo del momento en el cual me di cuenta que me toco cancelar la conexion pero nada evidente o relevante, cuando conecto a internet  tengo el tor, el ipchains  y el snort en modo de deteccion, en la carpeta allow tengo q me bloquee cualquier conexion entrante con el acceso denegado, aun q ahora no puedo colocar informacion extra ya q me encuentro en un cafe internet y no en mi lap.

a bueno se me olvida mencionar dependiendo de dode navegue en mi laptop utilizo el tor y otro proxy via internet para ocultar un poco mis datos.

una pregunta, es posible entrar sin que sea detectado? ni por el (netstat)(w)(last)?
de ser asi sabes como?

Gracias por la colaboracion.

cuando este en mi laptop con conexion a internet pasare mas datos aun q con la configuracion del cortafuegos y las otras configuraciones no deberia bloquear cualquier tipo de intento de conexion ano ser q el cortafuegos sea desactivado via remota pero eso no sucedio.

G0d_50n
"Por calles y avenidas la sabiduria hace oir su voz, proclama sus palabras por las puertas, por los puntos mas concurridos de la ciudad, jovenes inexpertos, burlones y necios, ¿hasta cuando amaran la inexperiencia, y hallaran placer en sus burlas y despreciaran el saber?

DICHOSO EL QUE haya SABIDURIA, EL QUE OBTIENE INTELIGENCIA

http://www.segurityhacker.es.tl

G0d_50n

a y con el antivirus no aparece nada raro mas que los programas que yo e instalado y configurado.

;D
"Por calles y avenidas la sabiduria hace oir su voz, proclama sus palabras por las puertas, por los puntos mas concurridos de la ciudad, jovenes inexpertos, burlones y necios, ¿hasta cuando amaran la inexperiencia, y hallaran placer en sus burlas y despreciaran el saber?

DICHOSO EL QUE haya SABIDURIA, EL QUE OBTIENE INTELIGENCIA

http://www.segurityhacker.es.tl

Garfield07

Con tanta protección dudo que alguien que sepa entrar en tu sistema entre en tu sistema. Es como aquello de "Tengo cientos de contraseñas estúpidas para proteger un puñado de datos estúpidos que sólo a un estúpido le interesarían". Eso significa que el hecho de saltarse tantas protecciones es tan difícil que no todos pueden acceder a él, y de ese grupo que quedan a nadie le interesaría tu sistema. Como ya he dicho optaría por algo más sencillo, como la ingeniería social. No me creo que nadie acceda a un sistema como ese sólo para fastidiarte ;)

Y si sabes cómo entrar en una habitación puedes hacerlo sin que nadie se dé cuenta. Si puede entrar, entrará sin que te des cuenta (a pesar de ser algo complicado). Por eso sigo optando por la I.S., pero poder se puede.

Un saludo! Sagrini


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo