Hola a todos el dia de hoy vamos a dar continuidad al tema de la semana pasada, una de las tantas historias de wizard!!!
Como resumen de la publicación anterior se tiene que:
Con los registros de los archivos de los log de los directorios de asterisk y elastix fue posible encontrar información para plantear un mini perfil del atacante, lo cual permitió identificar el posible origen de las llamadas en el momento en el cual este se conecto sin usar ninguna técnica para ocultarse.
Continuando con nuestra historia, tratando de recrear los pasos que se realizaron en ese entonces, se quiso consultar los log de nuestro servidor web ubicados en el directorio /var/log/httpd y una vez más los log solo contienen información de un tiempo aproximado de un mes (estos log si por defecto van eliminándose).
Pero lo bueno de la historia es que con base en estos log del servidor, en ese entonces se pudo encontrar una gran cantidad de registros de peticiones por minuto intentando obtener acceso a la interface de administración web de elastix, las cuales concordaban con una vez más con las horas que del perfil de nuestro atacante, lo cual en el momento nos daba un indicio de cómo este personaje logro obtener acceso al sistema aun sabiendo que wizard me había afirmado que las contraseñas que había definido eran seguras.
Lo curioso es que en este log al excluir las peticiones por fuerza bruta se pudieron encontrar peticiones a una ruta /freepbx/(no la recuerdo del todo bien), lo cual una vez se lo comunique a wizard, este borro su sonrisa y dijo “¿Y es que esto tiene acceso web a FreePBX?”, como lo dije anteriormente yo no tenía experiencia con este tipo de sistemas y simplemente lo que hice fue desde el navegador de mi equipo intentar acceder y efectivamente me apareció la interface de inicio de sesión de freePBX, una vez aquí y viendo lo sorprendido que estaba wizard simplemente fue buscar cuales eran los valores con defecto y efectivamente al entrar admin^2 y enter “BINGO” estaba dentro de la administración de freePBX desde la cual también se podía gestionar el sistema (crear extensiones, cambiar la salida de las llamadas, etc).
Lo anterior es una muestra de lo que dice Christian Cabrera en el post Inseguridad en Elastix
http://asteriskmx.com/2011/11/inseguridad-en-elastix-estadisticas-actualizadas-mexico/
http://asteriskmx.com/2011/11/inseguridad-en-elastix-estadisticas-actualizadas-mexico/
Con lo anterior comprendido y aceptado a wizard solo le quedo aprender la lección (no sé si también el saldo producto de las llamadas).
Lo mejor de todo y no sé si ya se darían cuenta mis apreciados lectores y es que varios meses después, este sistema ha seguido funcionando pues como ven en los log que me facilito wizard los registros ya van por noviembre, la verdad ya no se tienen llamadas a larga distancia desde este servidor; así que según wizard “eso no es problema”, ya que en el momento aparte de que ya no tenían llamadas internacionales wizard cambió todas las contraseñas de acceso.
Pero un nuevo problema surgió y repito las palabras tal y como las dijo wizard: “Se volvieron a meter en el Servidor y crearon una página web que decía Deface by…”, así que una vez más su servidor había sido objetivo de alguien, lo curioso del caso era que el archivo no se podía visualizar desde la web.
Así que adentrándonos de nuevo a los log no se encontraron accesos no autorizados en los log de elastix ni nada extraño en httpd, de inmediato wizard me dio la ruta donde había visto el archivo, así que miramos los detalles del directorio y este pertenecía a un usuario webmaster, mirando los accesos al sistema usando last para mirar los archivos wtmp que son los que en este caso almacenan los accesos, se obtuvo.
En efecto teníamos aquí accesos por ssh del usuario webmaster, mirando con más detalle y tratando de obtener información del origen, había direcciones IP de diversos países.
Sin embargo, habían varios accesos durante un periodo superior a un mes, para que se vea con más detalle se realizo la consulta filtrando por webmaster
¿Pero que había hecho este usuario en el sistema?, Sencillo mirando en el archivo /etc/passwd se pudo encontrar la ruta del directorio de este usuario el cual era /var/www/web/ en el cual estaban los registros de los comandos de nuestro usuario en cuestión.
Mirando los comandos del usuario en el archivo .bash_history teníamos lo siguiente
En donde de forma clara se podía ver como habían obtenido información del sistema, como habían descargado, desempaquetado y ejecutado tres programas en busca de lograr elevar privilegios y mas, desafortunadamente para nuestros atacantes no lograron encontrar el directorio de publicación del apache (este había sido cambiado por wizard) para poder completar su deface y hacerlo visible desde la web.
(me disculpan, pero les digo a los de este grupo: felicitaciones se la sabian con peras pero no con manzanas)
En el momento en que mostraba esto a wizard, le dije me parece muy extraño porque los usuarios que manejan apache no tienen este tipo de acceso y menos por ssh, en ese momento wizard me miro a los ojos y me dijo: “¿webmaster?, ese fue un usuario que cree yo, cuando estaba haciendo los scripts para los complementos demo, y ¿sabes?, la contraseña era webmaster, sinceramente pensaba que ese usuario lo había borrado al punto que no lo recordaba hasta ahora…“
En conclusión y teniendo en cuenta que este es un caso real, no podemos ser indiferentes ante este tipo de situaciones y pensar que esto nunca nos va a pasar, porque como muy bien dicen los abuelos “Los médicos también se mueren”, tanto que wizard con su experiencia en la materia se pudo ver como un principiante, lo cual termino con su servidor comprometido en diversas situaciones incluyendo su fuerte la parte de VoIP.
Mientras escribía esta pequeña historia (lo que se me permitió contar) pude verificar que los dos últimos archivos que pasaron al servidor aun están en la web, ¿que contienen? ahí les dejo la inquietud, pero eso bajo su responsabilidad…
Saludos a todos, hasta una próxima oportunidad y una vez más gracias D7n0 por la motivación a escribir esta entrada
Carlos Andrés Rodallega Obando
@crodallega
@crodallega
Excelente...
ResponderEliminar