Imagenes de instalación de las versiones estables para Mageia y OpenMandriva.
OpenMandriva: Mageia (Mageia 9) 20/Agosto/2023 - Anuncio, Descargas.
Blogdrake recomienda descargar las imágenes de instalación (iso) vía torrent para evitar corrupción de datos, aprovechar mejor su ancho de banda y mejorar la difusión de las distribuciones.
Parando ataques chapuza (parte2)
Enviado por vfmBOFH el 30 Enero, 2014 - 21:56
Hoy toca batallita de abuelo cebolleta.
Hallábame yo tocándome las $BALLS at two hands cuando me entró el ansia y me dije: "voy a mirar qué tal tira el servidor de blogdrake".
Total, que echo un vistazo a las estadísticas, y me encuentro con esta putamierder:
Tiro el bwm-ng, y me encuentro con que la rubia está escupiendo datos a todo lo que da el canuto del ISP (unos 90Mbits/s).
Averaveraver. Yastamos otra vez con el Mexicano Furibundo? Los ubunteros? Hacienda?
Miro los logs de nginx: Ok, no hay más peticiones de lo habitual. Miro el FTP, que a los cabrones de los empaquetadores a veces se les va la castaña. Nada. Miro el postfix, el dovecot, el mailman y sus muertos (a ver si lo acabo de una vez y cuelgo el LART). Nada. Miro el servidor web que tengo corriendo por otro puerto para hacerle judiadas a la rubia. Nada. Miro el bind. Nada. Joer, hasta el snmp que tiene instalado el ISP miro. Nada. Todo parado y la ethX echando humo.
Tiro un netstat:
[root@rubia init.d]# netstat -nputw
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 48 xxx.xxx.xxx.xxx:22 xxx.xxx.xxx.xxx:58760 ESTABLISHED 1493/sshd: vfmbofh
Joder, que sólo estoy yo.
Y entonces lo pienso:
[root@rubia etc]# ntpdc -n -c monlist
remote address port local address count m ver code avgint lstint
===============================================================================
127.0.0.1 57569 127.0.0.1 14 7 2 0 4 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21553 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 18370 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 15353 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 88225 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21341 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 12232 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21227 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21010 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 16006 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 4 4 4 1d0 63 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 4 4 4 1d0 64 2
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 3 4 4 1d0 65 65
remote address port local address count m ver code avgint lstint
===============================================================================
127.0.0.1 57569 127.0.0.1 14 7 2 0 4 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21553 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 18370 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 15353 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 88225 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21341 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 12232 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21227 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 21010 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 16006 7 2 1d0 0 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 4 4 4 1d0 63 0
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 4 4 4 1d0 64 2
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 3 4 4 1d0 65 65
Un #service ntpd stop y como nuevo. Mira por donde.
Ntp se instala por defecto en plan puta chapuza de los cojones. O sea, escuchando (y contestando) peticiones por todas las interfaces y a todo aquel que pregunte. Blanco fácil para un ataque de tipo reflection. En un reflection de DNS, tienes un factor de amplificación de 8x por cada nodo comprometido. En uno basado en NTP, debido a la longitud de la respuesta, la cifra se dispara por encima de 200x.
Lo sorprendente es que el canuto haya aguantado, porque la web cargaba más o menos bien (soy la caña configurando nginx). Aunque dudo que todo se deba a mis habilidades. Más bien, a que lo he pillado más o menos al principio (12 horas aprox), y con pocos nodos comprometidos (9). Un ataque serio, tumba a la rubia más rápido de lo que cualquiera podría conectarse para intentar achicar agua. Y lo cierto es que esto es culpa mía porque debí preveerlo.
Bueno, una vez localizado el vector, toca asegurarnos de que no vuelva la cosa a ponerse peluda al levantar de nuevo ntpd. Vamos a ver qué se puede hacer:
En ntp.conf, podemos añadir estas bonitas reglas para que sólo se escuche sus propias peticiones, ignorando el resto (o sea, que ntp acabe hablando solo xD). Con añadirlas al final del archivo, bastará.
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
restrict 127.0.0.1
restrict ::1
Con ésto, en realidad no paras el ataque, sino que simplemente lo ignoras. Por ejemplo, en la rubia tenía un tráfico entrante sostenido de unos 70Kb/s que supongo que se tratará de ésto:
[root@rubia etc]# ntpdc -n -c sysstats
time since restart: 940
time since reset: 940
packets received: 1114066
packets processed: 43
current version: 43
previous version: 0
bad version: 0
time since restart: 940
time since reset: 940
packets received: 1114066
packets processed: 43
current version: 43
previous version: 0
bad version: 0
access denied: 1113981
bad length or format: 0
bad authentication: 0
rate exceeded: 0
bad length or format: 0
bad authentication: 0
rate exceeded: 0
Ya veis que ntp está pasando bastante de la inmensa mayoría de peticiones. Aún así, si alguien es tan chapucero como para tratar de montar un DoS con 9 nodos, pues igual decide alquilar una botnet o algo para mandar peticiones ntp a piñon y saturar el tráfico entrante, en lugar del saliente. Así que para mayor seguridad, también podríamos añadir unas bonitas reglas al firewall para que dropee las peticiones externas al puerto 123.
Una vez todo puesto en marcha y arregladito, la cosa queda así en las estadísticas:
Ha bajado más rapidito que el suflé del fichaje de Neymar, eh?
Mañana a otra cosa.
:wq
»
- Blog de vfmBOFH
- Entra a tu cuenta o crea una para poder comentar.
Usuario
# 122423 hijos de shodan...
Precisamente entraba para pedir consejo en los foros; pues desde hace unos meses mi servidor web (un mini portatil usando Mageia 2) recibe mas visitas de bots buscando vulnerabilidades que de gente visitando mi pagina, y la verdad, ya me he acojonado al ver que mi dominio aparecía en el buscador shodan cuando no aparece ni en google. Y es que al día recibo como 30 visitas de diferentes ips buscando vulnerabilidades, cuando no recibo ni 2 visitas legítimas a la semana; así que solo es cuestión de tiempo que terminen encontrando alguna.
Veo que en tu blog tienes varios artículos que resultan de mi interés. Cuando me empape de ellos, si sigo teniendo alguna duda, ya la posteare en el foro.
¡Oye! Muchas gracias por compartir toda esta info. :)
ॐ
BOFH
# 122424 El fallo lo tienes en el firewall
El firewall de una máquina directamente conectada a Internet debe "dropear" al exterior todos los puertos por defecto excepto los servicios que explícitamente quieres que estén accesibles desde Internet (http, https, ftps y ssh como mucho).
--
Yo no me llamo... siempre sale que comunico.
BOFH
# 122425 Totalmente de acuerdo
Lo tengo en tareas pendientes. Pero me tiene acollonido lo _bien_ que se llevan MDV y shorewall. A ver si me empesco una ruta segura para quitar el Bastille, cambiarlo por shore y montarle un juego de reglas decente.
Atentamente,
La voz ésa del interior de tu cabeza que oyes cuando lees algo.
DISCLAIMER: No tengo mucho tiempo para forear, así que voy al grano. Si crees que mi respuesta es ruda, seca, cortante o hiriente, no lo dudes: LO ES.
Usuario
# 122427 Yo la verdad como entiendo un
Yo la verdad como entiendo un 33% xDD de lo que es el post, leo siempre a vfmbofh por las expresiones y lo cómico que le mete a la ecuación, como el "colisionador de gamusinos" ¿que parece haber fallado ahora? no se xD
Tilt at windmills, come on!!
http://www.youtube.com/watch?v=MAow3ufdK2Y
BOFH
# 122432 Toma ya!! Tres días fuera y
Toma ya!! Tres días fuera y cuando regreso me encuentro ataques NTP-Reflection y un culebrón épico.
Menos mal que el BOFH de la V estuvo al quite, como siempre en el momento justo en el lugar adecuado.
Gracias por el trabajo tan importante que realizas en las sombras.
Saludos
Muy Suyo
Her DoctorBOFH