Octubre
2005
Navegar de forma segura (Para usuarios WINDOWS) y seguridad de servidores.
Ayer VMware, empresa de gran prestigio en el mundo de la emulación, ha lanzado VMware Player, herramienta gratuita (no libre) que sirve para cargar máquinas virtuales ya hechas. En la sección de descargas hay máquinas virtuales de ejemplo de oracle, mysql, red hat.... pero hay una que me ha llamado la atención. La descripción habla de navega seguramente y protege tu equipo de malware y software espía. No sabiendo muy bien a qué se refiere con esa frase lo he probado y tengo que decir que es una idea genial
Primero descargamos el player. Hay versiones de windows, Linux. Recomiendo el tar.gz de Linux (si usas Linux). Después vamos a la página de máquinas virtuales de ejemplo, y descargamos la máquina Browser Appliance. Después de bajar los más de 200 megas de zip y descomprimirlo obtenemos un directorio con dos archivos dentro, uno es el archivo de configuración de la máquina, el otro es el «disco duro virtual», es decir una imagen RAW de un disco duro el cual tiene instalado una UBUNTU, ¡ leches ! una ubuntu, eso si que es navegar de forma más segura... El disco duro virtual puede crecer hasta 10 Gb pero recién descomprimido sólo ocupa un poco más de 800 megas. El software instalado en ubuntu está relaccionado con internet (firefox, gaim y gnome-bittorrent). Se pueden instalar más cosas gracias a synaptic. Pero para lo que es navegación y descarga de archivos basta.
Creo que es una buena iniciativa para probar un linux sin estropear nada y más ahora cuando cualquiera de los dos paquetes a descargar es gratuito (supongo que la máquina virtual de ubuntu será libre o al menos el contenido). Si configuramos vmplayer para que haga un puente de red entre nuestra interfaz primaria y la máquina virtual tendremos la máquina virtual disponible como una máquina más en nuestra red doméstica.
Hablando de seguridad, estoy haciendo otro análisis forense del equipo de la asociación/delegación de alumnos de la Escuela Universitaria Politécnica, que desde Mayo hasta Agosto ha sufrido todo tipo de ataques, incluso ha sido servidor de varios Phising de sitios como paypal, hotmail, terra...
Todavía no se como se hizo con el control de la máquina y dudo que consiga descubrirlo pero se hizo fuerte y creo una serie de usuarios que según usaba los iba borrando. La cosa se le debió ir de las manos cuando troyanizo varios binarios (grep, rgrep, ps, ls, cp, rm) y cuando en la delegación cambiaron de sitio el servidor ya no arrancó más dando un error referido a grep.
El hacker borró todos los log que pudo/supo (auth.log, daemon.log) pero se olvidó de los log de ftp (wu-ftp) y desde esos logs he ido rastreando sus pasos hasta encontrar la web falsa de paypal. Los historiales de bash todavía contienen los últimos comandos ejecutados, incluso llego a compilar php ya que el servidor (debian potato actualizado a woody) no tenía la versión compatible con lo que el quería. He encontrado instalado también la pasarela psi (jabber) e incluso he estado leyendo logs de conversaciones suyas en chat XXX.
Me falta por mirar la tabla del crontab tanto de usuarios como de sistema, y quizás algun directorio oculto. De momento monto el disco como sólo lectura y me estoy ayudando de ls -latr (este ls es de una elive, no el ls del sistema afectado)
Por todo lo que he descubierto hasta ahora la mayoría de las conexiones se hacen desde Brasil, pero hay alguna desde Israel o Bélgica. Supongo que denunciar a alguien no español complica el asunto. Solución: formatear y olvidarse.
Primero descargamos el player. Hay versiones de windows, Linux. Recomiendo el tar.gz de Linux (si usas Linux). Después vamos a la página de máquinas virtuales de ejemplo, y descargamos la máquina Browser Appliance. Después de bajar los más de 200 megas de zip y descomprimirlo obtenemos un directorio con dos archivos dentro, uno es el archivo de configuración de la máquina, el otro es el «disco duro virtual», es decir una imagen RAW de un disco duro el cual tiene instalado una UBUNTU, ¡ leches ! una ubuntu, eso si que es navegar de forma más segura... El disco duro virtual puede crecer hasta 10 Gb pero recién descomprimido sólo ocupa un poco más de 800 megas. El software instalado en ubuntu está relaccionado con internet (firefox, gaim y gnome-bittorrent). Se pueden instalar más cosas gracias a synaptic. Pero para lo que es navegación y descarga de archivos basta.
Creo que es una buena iniciativa para probar un linux sin estropear nada y más ahora cuando cualquiera de los dos paquetes a descargar es gratuito (supongo que la máquina virtual de ubuntu será libre o al menos el contenido). Si configuramos vmplayer para que haga un puente de red entre nuestra interfaz primaria y la máquina virtual tendremos la máquina virtual disponible como una máquina más en nuestra red doméstica.
Hablando de seguridad, estoy haciendo otro análisis forense del equipo de la asociación/delegación de alumnos de la Escuela Universitaria Politécnica, que desde Mayo hasta Agosto ha sufrido todo tipo de ataques, incluso ha sido servidor de varios Phising de sitios como paypal, hotmail, terra...
Todavía no se como se hizo con el control de la máquina y dudo que consiga descubrirlo pero se hizo fuerte y creo una serie de usuarios que según usaba los iba borrando. La cosa se le debió ir de las manos cuando troyanizo varios binarios (grep, rgrep, ps, ls, cp, rm) y cuando en la delegación cambiaron de sitio el servidor ya no arrancó más dando un error referido a grep.
El hacker borró todos los log que pudo/supo (auth.log, daemon.log) pero se olvidó de los log de ftp (wu-ftp) y desde esos logs he ido rastreando sus pasos hasta encontrar la web falsa de paypal. Los historiales de bash todavía contienen los últimos comandos ejecutados, incluso llego a compilar php ya que el servidor (debian potato actualizado a woody) no tenía la versión compatible con lo que el quería. He encontrado instalado también la pasarela psi (jabber) e incluso he estado leyendo logs de conversaciones suyas en chat XXX.
Me falta por mirar la tabla del crontab tanto de usuarios como de sistema, y quizás algun directorio oculto. De momento monto el disco como sólo lectura y me estoy ayudando de ls -latr (este ls es de una elive, no el ls del sistema afectado)
Por todo lo que he descubierto hasta ahora la mayoría de las conexiones se hacen desde Brasil, pero hay alguna desde Israel o Bélgica. Supongo que denunciar a alguien no español complica el asunto. Solución: formatear y olvidarse.
Muy util esto de la máquina virtual, pero tengo una pregunta, ¿cual es la contraseña de root?
Eskerrik asko.
En ubuntu no hay contraseña de root, para ser root basta con hacer «sudo -s» o activar a root con «sudo passwd»