¿Estamos bajo el control de hackers?

4

Tenemos un servidor web que monta Centos. En ese WS hay un Apache (versión 2.2.3) y algunos sitios.

Puede iniciar sesión solo si tiene un certificado (para el usuario root) o mediante ftp (una partición restringida de datos para los contenidos de carga, pero este no es el punto) o mediante apache que tiene algún permiso para escribir en ciertos directorios .

En el pasado reciente tuvimos algunos problemas con esa política, ya que quienes pueden "piratear" apache, podrían eliminar archivos en los directorios de escritura de apache. Pero no nos asustamos desde hoy.

Hoy notamos que un archivo de registro y un directorio de registro, particularmente el directorio de registro de httpd y los archivos de registro, han sufrido un cambio de permisos (en detalle, alguien eliminó el permiso de + x para otros usuarios. Los permisos fueron de 755). Dado que el propietario es root y el grupo es root, ¿podría alguien decirme si hay una explicación alternativa a "alguien robó su certificado"?

Además, sé que mantener el software actualizado es el mejor método para prevenir defectos conocidos, pero en ese caso no puedo imaginar a alguien que a través de Apache podría hacer algo así.

    
pregunta DonCallisto 15.05.2012 - 10:48
fuente

1 respuesta

4

¿Está diciendo que sus permisos eran 755 pero ahora son 754 o 644? Mirando mis registros de Apache (Ubuntu, no tengo CentOS a mano), deberían ser 644. ¿Se reinició Apache?

Con respecto a los posibles métodos de ataque (hipotéticamente hablando, por supuesto) -

Suponiendo que alguien no robó o falsificó con éxito la autenticación de certificación, una posible teoría es que alguien robó un inicio de sesión de FTP (totalmente plausible, mediante ingeniería social o detectando el protocolo de texto simple en algún lugar a lo largo de la conexión de FTP), y luego realizó una escalada de privilegios (a través de una vulnerabilidad en el servicio FTP, Apache (improbable: no tengo conocimiento de ninguna en este momento), algún otro software instalado en el sistema, a través del kernel de Linux (existen, pero supongo que está bien parcheado en ese frente, a menos que alguien haya lanzado un 0-day a su manera, nuevamente es poco probable pero posible si tiene datos que alguien realmente quiere) o a través de su aplicación web, dependiendo de qué tan bien esté codificado. Las aplicaciones PHP son reconocidas por ser desarrolladas de forma insegura y con frecuencia son explotables.

Recomiendo eliminar el acceso a FTP y reemplazarlo con SFTP (mediante autenticación de clave).

    
respondido por el Mark Hillick 15.05.2012 - 12:03
fuente

Lea otras preguntas en las etiquetas