Índice

1.¿Por que yo?

2.Que hacer.

3.Y que había que haber hecho.

¿Por que yo?Motivaciones

He estado aquí (zone-h.org)

Inyección de códigos para ejecutar exploits navegadores usuarios

Ejecución de scripts, en el servidor para envió de spam

Cabeza de Puente para realizar ataques sobre otros equipos

Robo información (propia o bien phising sobre terceros)

¿Era facil....?

Que hacer

Ver por donde... Sin reiniciar, NI apagar el servidor.

Útil tener logs del servidor, información de trafico red, histórico comandos, cualquier cosa..... Que hayan dejado

Tras identificar por donde, ver el como resolver o evitar la intrusión (aka minimizar)

Restaurar copia seguridad

Que hacer

Ftp, correo, cambio password

Solventar fallo aplicación, Inyección codigo (htm, php, asp), o de Sql... Intentar sanear valores de variables.

http://loco.com/index.php?zone=http://injeccion.com

if(eregi(“^http”,$zone.var)) then …..

¿Actualizar sistema....? ¿Aplicaciones...?

Que habia que haber hecho

Backups, backups y backups

¿Comprimir..., cintas...?

¿Un día....? Ficheros, bases de datos….

Política recurrente... “hasta el infinito y mas alla”

Hay mejores alternativas... ¿snapshots, filesystems…?

Que habia que haber hecho

Validación integridad backups¿Que es eso? 

Numero de veces al año… (según periodicidad)

Entorno test o desarrollo, NUNCA en producción

Que habia que haber hecho

Realizar análisis riesgos. LOPD, SGSI (aka iso-27000) …..

Securizacion servidor, servicios y aplicacionesLogs hacia servidor interno no accesible

Que había que haber hecho

Análisis vulnerabilidades, herramientas..Metasploit, OpenVas, Nessus, Outpost24, etc…

•Sistema operativo

Servicios

Aplicaciones

Es una ayuda, pero no la panacea…¿Actualizar...?

Preguntas….

Gracias a todos por vuestro tiempo e interes.

Julio Garcíajulio@masbytes.es