loading............
Hola, bueno creo que ustedes nunca se toparon EN SERIO con ataques a un servidor, toma de un servidor, explotación de algún bug.
Por mi experiencia puedo decirles:
1.- Si estas seguro de que el origen del bug es un CMS:
- entonces lo pones offline, buscas similares errores en google, indagas en el código y lo arreglas o si no eres programador, buscas alguien competente.
- Si el atacante dio pruebas de que está explotando tal bug y tu lo viste entonces tienes la guerra ganada ya que TU como administrador te has dado cuenta y tienes pruebas para rastrear el error, sería peor que el atacante supiera del bug te informara a grandes rasgos ( si es que lo hace ) y te cobraría por aplicar el parche.
- Tienes la ventaja de que es una aplicación corriendo en una escala de privilegios, php/apache/usuario/servidor, entonces estas en un nivel muy bajo de peligro y fácilmente corregible.
2.- Si es un ataque donde realmente pueda "tirar" tu servidor, ya sea con un acceso a tu servidor es la novela Hunter Vs Hunter donde debes...
- rastrear sin que el otro se de cuenta
- sigue sus acciones
- ANOTA cualquier evento anormal dentro del sistema
- encuentra el toolkit instalado en tu servidor ( siempre hay ssh como root corriendo en un puerto 'raro', monitores corriendo como daemons.
- asegurar de que tus copias de respaldo no fueron modificados (verificando su md5)
- generalmente un buen administrador tiene respaldos de su base de datos diarios, entonces estas parcialmente a salvo.
- Aca es cuando tienes todas tus herramientas necesarias para rastrear a tu atacante y es que puedes hacerle ver que lo has detectado y comienzas a cerrar tus servicios, cambiar de puerto tus demonios, cambiar de puerto al SSH al igual que toda configuración por defecto (por ejemplo, dejando que sshd lea credenciales de login automática alojados en /var/named/log ).. lo importante es NO PERDER EL CONTROL DEL SERVIDOR. Mientras TU como administrador le vas quitando los privilegios que logró conseguir, paralelamente vas rastreando las cosas que el atacante intenta hacer para volver a tener el control de tu servidor etc etc etc, detalles muy técnicos... lo siento.
Lo mas importante es... ante una situación de explotación de bug etc etc no llames a "la policia" o algo asi, mejor llama a un experto o arreglalo tu mismo.
Llamando a "la policía" puedes hacer que tu atacante se enoje, te borre todo, te haga un daño por enojo etc etc y la policía se dara cuenta de que el IP es de algún café internet i un wi-fi jajaja o un IP exterior donde el tipo lo hizo desde un café internet... si explotaron tu CMS.. descuida, es solo un niño desde un café internet con ganas de molestar o llamar la atencion, pero un niño que PUEDE ENOJARSE e ir en contra tuya si no tomas tus precauciones.
Me he encontrado en muchas situaciones en las que alguien anda explotándolas aplicaciones de terceros y haciéndose a los re-hackers, hasta yo lo hice e informé del problema pero a la primera me salieron (tenemos tu IP deja de explotar el bug o contactaremos con la autoridad competente..... Dios, me reí tanto).
para neodani:
¿Podría estar penalizado?
claro que si, pero casos como estos
http://www.publico.es/agencias/efe/2...do/ordenadores donde el atacante usa correo hotmail jajaja
¿Cuál sería la forma correcta de actuar?
la opcion A y si quieres le ofreces un precio para arreglar el bug rápidamente pero si el te dice que no.... bueno consuélate con que perderá mucho mas tiempo del que pudo gastar contigo arreglándolo.
Bueno, saludos.
connection closed.
