Post on 28-May-2015
description
Índice
1.¿Por que yo?
2.Que hacer.
3.Y que había que haber hecho.
¿Por que yo?Motivaciones
He estado aquí (zone-h.org)
Inyección de códigos para ejecutar exploits navegadores usuarios
Ejecución de scripts, en el servidor para envió de spam
Cabeza de Puente para realizar ataques sobre otros equipos
Robo información (propia o bien phising sobre terceros)
¿Era facil....?
Que hacer
Ver por donde... Sin reiniciar, NI apagar el servidor.
Útil tener logs del servidor, información de trafico red, histórico comandos, cualquier cosa..... Que hayan dejado
Tras identificar por donde, ver el como resolver o evitar la intrusión (aka minimizar)
Restaurar copia seguridad
Que hacer
Ftp, correo, cambio password
Solventar fallo aplicación, Inyección codigo (htm, php, asp), o de Sql... Intentar sanear valores de variables.
http://loco.com/index.php?zone=http://injeccion.com
if(eregi(“^http”,$zone.var)) then …..
¿Actualizar sistema....? ¿Aplicaciones...?
Que habia que haber hecho
Backups, backups y backups
¿Comprimir..., cintas...?
¿Un día....? Ficheros, bases de datos….
Política recurrente... “hasta el infinito y mas alla”
Hay mejores alternativas... ¿snapshots, filesystems…?
Que habia que haber hecho
Validación integridad backups¿Que es eso?
Numero de veces al año… (según periodicidad)
Entorno test o desarrollo, NUNCA en producción
Que habia que haber hecho
Realizar análisis riesgos. LOPD, SGSI (aka iso-27000) …..
Securizacion servidor, servicios y aplicacionesLogs hacia servidor interno no accesible
Que había que haber hecho
Análisis vulnerabilidades, herramientas..Metasploit, OpenVas, Nessus, Outpost24, etc…
•Sistema operativo
Servicios
Aplicaciones
Es una ayuda, pero no la panacea…¿Actualizar...?
Preguntas….
Gracias a todos por vuestro tiempo e interes.
Julio Garcíajulio@masbytes.es