Cada uno ha poarticipado en lo suyo
Lo mio ha sido más el ataque y la organización un poco del grupo
MIEMBROS DEL GRUPO FJHT
Francisco Andres Jimenez Cogollos frajico@gmail.com
Antonio Grimaltos Vidal antonio.grimaltos@gmail.com
Jasinh Sinh palaciodelso@gmail.com
Francisco José Abellán Conde zeloin@gmail.com
Malte Reidenbach mr@mrpnkt.com
Guillermo Ramos Auñon guillermo.ramos.aunon@gmail.com
Maximiliano Gonzalez Olivares Maximiliano.gonzalez.olivares@gmail.com
Iñigo Aramendia inigoaramen@gmail.com
DIVISIÓN DE TRABAJO
Principales miembros del ataque: Fran Abellán, Maximiliano Rodrigo Olivares
Principales miembros de la defensa: Iñigo Aramendia, Maximiliano Rodrigo Olivares, Francisco José Abellán Conde, Guillermo Ramos Auñón, Francisco Jimenez, Antonio Grimaltos, Malte Reidenbach
Coordinador de la documentación: Iñigo Aramendia
Responsable del grupo: Antonio Grimaltos Vidal
Datos del servidor:
El servidor es una máquina Debian Wheezy de 32 bits en modo solo texto
Nuestro servidor (IP): 45.55.93.154
Usuario: admin
Password: 528fa9b5b8923db5cc859a2d40d16b8f
LA DEFENSA
Se ha quitado el usuario “admin” del SSH y se ha creado un nuevo superusuario “noroot” con la contraseña: g!p6X'_ZJsW^Hq$WsLyu,;=NM]
También se ha cambiado el puerto a 30771
¿Podeis explicar paso a paso como habeis hecho esto para cualquir persona?¿El usuario admin ha sido eliminado o sigue ahi sin permisos de root?
En el FTP se ha anulado el acceso mediante usuario anónimo.
Port:
Password:
Cactis:(esto es un usuario o un servicio?, me refiero a cactis?)
User: admin
Password: M66nDr4g6n1t3
En el archivo /etc/vsftpd.conf se ha deshabilitado:
anonymous_enable=YES ahora es NO
listen_ipv6=YES ahora es NO
El servicio vsftp se ha deshabilitado. → ¿Este servicio no es el que proporciona el servicio FTP? EN teoria, segun las normas, NO se pueden deshabilitar servicios que se ofrecen, a no ser que el servicio FTP se preste con otro servicio que no sea el vsftp, es decir, ¿tenemos el servidor FTP levantado?
<<<<<<EN CONSTRUCCIÓN:
<<<<<<Trabajo en defensa https://pad.riseup.net/p/Y4TBzVnwq9d7
ALGUIEN SABE DECIRME ALGO SOBRE LO QUE HAY JUSTO ENCIMA DE ESTA LINEA?
Se ha instalado pwgen para generar contraseñas seguras
Sin aplicar: Cambiamos la entrada para que cuando pongan nuestra IP aparezca que pertenece a una empresa de cervezas o una página web de un fotógrafo de bodas. SE HIZO FINALMENTE?
Se ha instalado y lanzado el fail2ban para proteger el acceso por ssh cuando este falle 4 veces el acceso.
Se ha obtenido los archivos del servidor mediante este exploit
El comando usado para lanzar el exploit:
Al ejecutar el exploit se ha obtenido:
1º archivo
2º archivo
NINGUN ARCHIVO ESTA FUNCIONAL PARA VER, SUPONGO QUE PORQUE HABÉIS CAMBIADO ALGO PARA QUE LOS DEMÁS NO ACCEDAN Ó COMO?
root@KaliT:~# nikto -h 45.55.93.154 -T 34
Se ha localizado el protocolo tcpmux (sumamente inseguro) habilitado.
Se ha localizado el protocolo socks (tor) habilitado.
Se ha localizado el protocolo ingreslock.
Se ha localizado ataques al servidor desde la ip “China” 221.229.172.35
Se localiza que han accedido a uno de nuestros archivos:
Desde:
1) 46.24.32.68 ->> España, Pais Basco //Bilbao
netname: DIKARSCOOP
http://www.dikar.es/es/
2) 161.67.168.130 ->> es de España, Castilla- La Mancha // Ciudad Real
Universidad de Castilla - La Mancha
3) 80.26.167.5 ->> España, Canarias // Arrecife
netname: TDENET Red de servicios IP
Se ha modificado un script que estaba en el pastebin que explota una vulnerabilidad
en GITLIST, el ataque no funcionaba contra nuestro servidor debido a una mala configuración de paths (caminos) de sistemas y de payload. Se ha modificado y queda listo para su uso en ataque. Lo mas seguro es que los demás equipo también lo tengan.
Se ha instalado un backdoor para poder modificar, subir, bajar y leer archivos con mayor facilidad en la máquina y así no tener que estar haciendo todo por ssh.
El backdoor obtenido desde github
Enlace: http://45.55.93.154/gpu2.php
User: randomuser
Password: randompassword
Password: randompassword
LEER: ¿Es legal el backdoor para este curso? porque el que ha puesto el backdoor ha comentado que hay que deshabilitarlo.
Si, es legal, tenemos que utilizar todas las herramientas posibles. Tenemos que deshabilitarlo debido a que significa una vulnerabilidad para nosotros dejarlo activado
Si, es legal, tenemos que utilizar todas las herramientas posibles. Tenemos que deshabilitarlo debido a que significa una vulnerabilidad para nosotros dejarlo activado
Se ha añadido el comando disable_functions a php.ini, así hemos conseguido que no funcione el shell. Y así solo usar ssh
EL ATAQUE
-Necesitamos averiguar a qué vulnerabilidades / ataques van asociados para protegerlos mejor.
-Atacar otros servidores por estas vulnerabilidades. Es muy probable que hayan varios servidores iguales o sean casi colones del nuestro, o desplegados a partir de plantillas iguales o similares.
Entendemos que nuestro servidor está en el mismo rango de ip's que el resto de equipos, de tal manera que hemos realizado un
root@KaliT:~# nmap -A 45.55.93.154
EN CONSTRUCCIÓN:
Servidores de equipos hackeados:
Tras realizar el análisis de los servidores hemos procedido a realizar
104.131.123.90 protected html
45.55.253.149 equipo 2 **2 files(lvl 1,2) hacked
45.55.67.152 protected html
45.55.68.249 protected forbidden
45.55.72.137 equipo 5 **3 files hacked
45.55.77.114 protected moved
45.55.86.109 protected html
45.55.93.42 protected html
45.55.93.97 equipo 9 **3 files hacked
45.55.93.154 protected html
45.55.93.161 protected html
45.55.94.186 protected html
45.55.95.29 equipo 13 **1 files (lvl 3)
162.243.184.77 protected html
162.243.184.127 protected html
159.203.124.196 NADA...EXTRAÑO
159.203.114.175 NOT FOUND EXTRAÑO
159.203.114.191 equipo 18 **2 files (lvl1,2) hacked
PD: Si creen que algo no está bien me lo hacen saber o lo cambian
SI ALGUIEN NO ESTÁ CITADO EN LOS MIEMBROS COMO ATAQUE / DEFENSA QUE SE PONGA EL NOMBRE
Toni Grimaltos: Perfecto el resumen.