Modsecurity es una extensión para Apache que te brinda varias acciones/opciones relacionadas con la seguridad del servidor web. <br><br><a href="http://www.modsecurity.org/">http://www.modsecurity.org/</a><br><br><br><br><span style="color: black;"><div dir="ltr">
<div><font style="font-family: arial,helvetica,sans-serif;" size="2"><span style="font-weight: bold;">CARLOS BORTOLINI ACURUMO</span></font><br><font style="color: rgb(102, 102, 102);" size="1"><span style="font-family: verdana,sans-serif;">Ingeniero en Informática<br>
</span></font><font style="color: rgb(102, 102, 102);" size="1"><span style="font-family: verdana,sans-serif;"><a href="mailto:bortolini@gmail.com">bortolini@gmail.com</a><br>
</span></font><br style="color: rgb(102, 102, 102);"><font size="1"><span style="font-family: verdana,sans-serif;"><span style="color: rgb(102, 102, 102);">Teléfono: +591 347 4546</span><br style="color: rgb(102, 102, 102);">
<span style="color: rgb(102, 102, 102);">Móvil: +591 766 69617</span><span style="color: rgb(102, 102, 102);"></span><br style="color: rgb(102, 102, 102);"><br style="color: rgb(102, 102, 102);"><span style="color: rgb(102, 102, 102);">Santa Cruz - Bolivia</span><br>
</span></font></div></div></span><br><br><div class="gmail_quote">2010/2/11 David González Romero <span dir="ltr">&lt;<a href="mailto:dgr@dic.ohc.cu">dgr@dic.ohc.cu</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Bien lista!!<br>
<br>
Tengo un amigo con una configuración como la del subject:<br>
CentOS+Apache+PHP+MySQL+Joomla.<br>
<br>
En los últimos tiempos descubrió algunos probelmas de seguridad los<br>
cuales dieron pie a que un atacante introdujera codigo dentro del<br>
sistema de archivo que se ejecutaba tanto con permisos de apache y<br>
nobody. Este código principalmente fue introducir un software de webchat<br>
y en segundo plano un script de perl que levantaba una<br>
aplicación/demonio para hacer scan de puertos a diferentes direcciones<br>
de IRC.<br>
<br>
En fin la razón es la siguiente en el reporte de Logwacht aparecia algo<br>
como esto:<br>
<br>
Commands Run:<br>
     User apache:<br>
        /tmp/.psy/y2kupdate &gt;/dev/null 2&gt;&amp;1: 1440 Time(s)<br>
<br>
Al buscar que era esto encontré, junto con mi amigo, algunas cosas<br>
interesantes:<br>
1- Apareción en una carpeta interna de un virtual host con Joomla una<br>
carpeta no pertenenciente al Joomla<br>
(../administrator/components/com_installer/mambot/components) que<br>
contenia ciertos y determinados script ejecutables y algunos binarios<br>
2- el contenido:<br>
[root@server components]# ll<br>
total 360<br>
-rwxr-xr-x 1 apache apache    141 Feb  5  2006 config<br>
-rwxr-xr-x 1 apache apache    929 Feb  5  2006 config.h<br>
-rw-r--r-- 1 apache apache    118 Jan 31 02:34 cron.d<br>
-rwxr-xr-x 1 apache apache    341 Feb  5  2006 fuck<br>
drwxr-xr-x 2 apache apache   4096 Feb  5  2006 help<br>
-rw-r--r-- 1 apache apache  52960 Jan 31 02:36 <a href="http://ht.pl" target="_blank">ht.pl</a><br>
drwxr-xr-x 2 apache apache   4096 Feb  5  2006 lang<br>
drwxr-xr-x 2 apache apache   4096 Feb  1 09:44 log<br>
drwxr-xr-x 2 apache apache   4096 Feb  5  2006 motd<br>
-rwxr-xr-x 1 apache apache  14306 Feb  5  2006 proc<br>
-rwxr-xr-x 1 apache apache 202544 Feb  5  2006 psybnc<br>
-rwxr-xr-x 1 apache apache     77 Feb  5  2006 psybnc.conf<br>
-rw------- 1 apache apache      5 Feb  1 09:44 psybnc.pid<br>
-rwxr-xr-x 1 apache apache     66 Feb  5  2006 run<br>
drwxr-xr-x 3 apache apache   4096 Jul  3  2007 scripts<br>
-rw-r--r-- 1 apache apache     76 Jan 31 02:34 ssstt<br>
-rw-r--r-- 1 apache apache     82 Jan 31 02:34 ssstt.dir<br>
-rwxr-xr-x 1 apache apache  21516 Feb  5  2006 xh<br>
-rwxr--r-- 1 apache apache    383 Jan 31 02:34 y2kupdate<br>
<br>
3- Una busqueda en los procesos ejecutandose salio esto:<br>
/usr/sbin/httpd -DSSL<br>
<br>
Bueno para no hacer larga la historia usando dos o tres herramientas y<br>
el netstat pudimos dar con el proceso y matarlo.<br>
<br>
Pero seguia saliendo en el repote de Logwacht lo del y2kupdate y<br>
buscando encontramos que en /var/spool/cron habia un fichero llamado<br>
apache que contenia:<br>
* * * * * /tmp/.psy/y2kupdate &gt;/dev/null 2&gt;&amp;1<br>
<br>
Al final mi pregunta va en dos sentidos:<br>
<br>
A- Hay alguna forma para saber quien escribió, y donde en el sistema de<br>
archivos, especificamente en este directorio del /var/spool/cron.<br>
<br>
Pienso que como Linux usa un sistema Journalist imagino que exista una<br>
traza de los cambios en el Sistema de Ficheros en un momento determinado.<br>
<br>
B- Hay forma de endurecer las politicas de acceso a los directorios de<br>
los virtualhost de apache y del tmp, y que no ejecuten codigo<br>
arbitrariamente?<br>
<br>
Saludos,<br>
David<br>
<br>
--<br>
_________________________________________________<br>
Lic. David González Romero<br>
Network/System Administrator<br>
DIC- OHC Dirección de Informática y Comunicaciones<br>
Oficina del Historiador de la Ciudad<br>
Ave Puerto. Edif. Lonja del Comercio 5H<br>
Telf:(537)8608808, 8608853 ext 109<br>
Linux counter: 242534<br>
__________________________________________________<br>
<br>
<br>
_______________________________________________<br>
CentOS-es mailing list<br>
<a href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-es" target="_blank">http://lists.centos.org/mailman/listinfo/centos-es</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Saludos,<br>Carlos Bortolini Acurumo<br>Cel +591 766-69617 <br>Email: <a href="mailto:bortolini@gmail.com">bortolini@gmail.com</a><br>Santa Cruz - Bolivia<br>