Publicado el 15 de Marzo del 2017
2.511 visualizaciones desde el 15 de Marzo del 2017
1,6 MB
16 paginas
Creado hace 11a (10/12/2012)
Servidores GLAMP:
“Ataques y defensas básicas”
David Hernández (Dabo)| www.davidhernandez.es | @daboblog
Recuerda: Hackea con moderación
Es tu responsabilidad, o no... Asumiendo el nivel de exposición.
Un escenario muy diverso...
Balanceadores, “Alta Disponibilidad”, Pacemaker, Cloud, Amazon,
Corosync, Tomcat, Liferay, Alfresco, MySQL, Oracle, MariaDB.
Cpanel, Plesk, webmin, ISPConfig, Paneles corporativos, IPv6.
“Seguridad por oscuridad”
> Not Found
● Configuraciones por defecto mejorables
● Portscans, botnets, fingerprinting
● Ataques automatizados (o no) buscando
servicios potencialmente vulnerables
● Ocultación frente a “0 Day”, exploits
● Cuando no siempre puedes parchear
“Seguridad por oscuridad”, por ejemplo...
¿2.2.23 o 2.2.17?
Ocultando información
Firewalls, nmap <> iptables
> Drop
● Audit * Puertos y servicios con Nmap
● Portsentry, APF Firewall, Shorewall, etc
“La empresa que me ofreció hosting”
“La empresa de hosting que tenía algún problema”.
● Nmap
● Nessus
● Nikto
● Xprobe
● OpenVAS
● Netcat
● Hping
● PenTBox
● Acunetix
● Whatweb
● Metasploit
● FOCA
● Flunym0us
JoomlaScan
●
¿”Ligeras” diferencias? Sí pero ¿ese 22?
> DF**TH
RootKits, logs, puertos, 777
> Stealth
Please inspect this machine, because it may be infected
● Trojan chkrootkit, rkhunter, LMDE
● Ports lsof, netstat, nmap, portmap
● Control tripware, nagios, monit, bastille
● 777 chmod, chown, chroot, .htaccess
Rootkits (las consecuencias...)
Tráfico legítimo, o no...
netstat ntu | awk '{print $5}' | cut d: f1 | sort | uniq c | sort n
> Analize
● Traffic vnstat, iptraf, munin, nagios
● ModSec ¿Es realmente necesario?
● DoS / DDoS Deflate, APF, iptables, Evasive
SSH, Mail, MySQL, FTP, CMS
> Brute Force
● Además del riesgo, incremento de tráfico
● Algunos desde el cron (por ej BFD, Deflate)
● DenyHosts, Fail2ban, Plugins en CMS, etc.
Tail -f /var/log/syslog
> Control
● Logcheck, logwatch, ModSec
● Monit, apachetop, Tiger, swatch
● Apache-scalp, syslog – secure
● Vmstat, netstat, lsof, w, vnstat
Muchas gracias Dragones !!!
David Hernández (Dabo)| www.davidhernandez.es | @daboblog
Presentación creada con Debian GNU/Linux, LibreOffice y GIMP
Crear cuenta
Comentarios de: Servidores GLAMP: “Ataques y defensas básicas” (0)
No hay comentarios