Recibir un ataque, es una cuestión de tiempo

Recibir un ataque en algún servicio expuesto en Internet sobre sobre un servidor al cuál tenemos acceso, es solo una cuestión de tiempo.

Independientemente de cuál sea el servicio o incluso done se encuentre alojado, por A o por B, hoy o mañana, va a ser atacado, quizás por algún ciberdelincuente o quizás por alguna herramienta (robot) pero lo cierto es que intentarán buscar más información o apoderarse del error.

La imagen que les compartí, no corresponde a ningún Honeypot, es una web en WordPress con algunas visitas diarias y que gracias al uso de la herramienta goaccess nos permite visualizar el archivo Log de Apache2 mucho más intuitivo.

Si fueron observadores, notaron que existen varias peticiones con resultado 404 buscando algunos archivos muy interesante.

Recuerden: Su servicio puede ser muy popular, alcanzar muchas visitas, o algo simple y solo con algunas visualizaciones. Pero lo cierto es que recibir un ataque, es una cuestión de tiempo.

Saludos.

Como bloquear una dirección IP desde .htaccess

Administrar una web es tener a cargo un montón de tareas que en muchas maneras se refiere a optimizar sus recursos, pero que también está ligado a analizar desde donde pueden llegar los próximos ataques.

Figura 1: Como bloquear una dirección IP desde .htaccess

Los que solemos utilizar el Servidor Web Apache2, tenemos una gran herramienta para implementar y es hacer uso del archivo .htaccess

.htaccess es una archivo de configuración del servidor web que permite extender algunas configuraciones para una aplicación en particular, activar y desactivar módulos, ocultar mensajes de error, redireccionar, evitar un Full Path Disclosure y limitar peticiones, etc.

Por otro lado, es sabido que cuando logramos detectar una actividad sospechosa desde algún origen asociado a su dirección IP, podemos comenzar a actuar de una forma pro-activa.

Con esto no quiere decir que se está recibiendo ataques, o caer en falsas paranoias, sino que se trata simplemente de actuar y avanzar.

Por ejemplo, si desde un archivo log notamos varios request en pocos en intervalos cortos de tiempo (milisegundos) o comenzamos a recibir mucho #SPAM desde un origen es momento de actuar.

Bloquear una dirección IP

Entre las bondades del archivo .htaccess es posible limitar los tipos de peticiones y las direcciones IP de su origen de la siguiente forma:

<Limit GET HEAD OPTIONS POST PUT>
Order Allow,Deny
Allow from All
Deny from 91.200.12.
</Limit>

De esta manera estamos especificando no solamente los métodos que queremos bloquear como ser GET, HEAD, OPTIONS, POST y PUT, sino que además podemos especificar las direcciones IP o rangos de IP públicas desde donde estamos recibiendo una actividad distinta.

JShielder - Linux Hardening Script Guide

El día de hoy me gustaría compartir un ebook de mi amigo Jason Soto @JsiTech donde muestra e forma detallada el funcionamiento de JShilder.

Figura 1: JShielder - Linux Hardening Script Guide

JShielder es una herramienta Software libre que le permite al Administrador de Sistemas hacer un despliegue Seguro de LAMP (Linux-Apache-Mysql/MariaDB-PHP), LEMP (Linux-Nginx-MySQL/MariaDB-PHP), Reverse Proxy o Servidor para hostear una aplicación de manera automatizada con poca interacción del usuario.

Figura 2: Portada del ebook JShielder

De esta forma se mantiene vigente el espíritu del Software Libre, adaptando y mejorando a necesidad de cada uno, en este caso una gran mejora del Proyecto JackTheStripper de Eugenia Bahit.

Los invito a todos a leerlo en línea o descargarlo, y comenzar a realizar sus pruebas con este script que realmente automatiza un montón de tareas y fortifica un completo entorno LAMP.

JShielder - Linux Server Hardening Script

Saludos!

Activar mod_evasive en Apache2

mod_evasive es un módulo que podemos activar en el servidor HTTP Apache y que nos permite proteger nuestro servicio por ataques de fuerza bruta al puerto 80 o las Denegaciones de Servicios, que en estos últimos años se volvieron tan populares.

Es de uso indispensable, ya que lograr configurarlo es sumamente simple y nos puede ayudar mucho en la tarea de prevención de los vectores de ataques mencionados anteriormente.

Para lograr activarlo correctamente en Apache2 utilizando como base un sistema Debian podemos hacer los siguientes pasos:

$ apt-get install libapache2-mod-evasive

Luego, ingresamos al directorio donde se encuentran los módulos disponibles de Apache2

$ cd /etc/apache2/mods-available
$ ls -l

y vamos a ver que se encuentra los archivos evasive.conf y evasive.load

Por otro lado creamos un directorio donde se van a encontrar los log de este módulo

$ mkdir /var/log/mod_evasive

y editamos el archivo evasive.conf quitanto todos los "#" de comentarios. En otro post voy a explicar de forma detallada cada uno de los parámetros que podemos configurar

Finalmente nos queda activar el módulo en apache2 de la siguiente manera:

$ a2enmod evasive
$ /etc/init.d/apache2 restart

Es posible verificar que el módulo se encuentra activo y funcionando de la siguiente manera:

$ apache2ctl -M | grep evasive

Realmente es muy simple, rápido y muy efectivo y a partir del día 0 de la implementación de Apache2 podemos tener el control de este tipo de ataques.

Saludos!

Google Hacking: Servidores Apache2 en Ubuntu Server

Regresando a las búsquedas de algunos Dorks dentro de Google, me topé con una configuración por defecto dentro de la distribución Ubuntu Server en referencia al servidor web Apache2.

Esto lo descubrí, cuando estaba instalando dentro de Ubuntu Server, todo el entorno y ecosistema de OpenStack y sus componentes, donde en algún momento, dentro del blog vamos a estar hablando.

Uno de sus componentes se llama Horizon y se trata de un Dashboard web donde nos permite interactuar directamente con todos los componentes de OpenStack y desplegar los servidores, y obviamente este dashboard necesitaba de un servidor web como Apache2

El tema es que mientra instalaba, note que sobre esa IP aparecía una página customizada por Ubuntu Server con la frase que todo SysAdmin busca “It works” pero algo diferentes.

Para sacarnos la duda, vamos directamente a realizar una búsqueda masiva para ver cuanto indexó los motores de Google.

intitle:"Apache2 Ubuntu Default Page: It works"

Casi 3.000 servidores corriendo Ubuntu Server y atendiendo un servicio Apache2, donde además, dejaron la configuración por defecto.

Lo ideal sería cambiar o eliminar el VirtualHost que apache trae por defecto al momento de su instalación y evitar que una vez más Google meta las narices y continúe indexando más y más cosas.

Saludos!

The Original Hacker Nº 9, una edición «muy Zen»

Que bueno es volver a estar organizado y tener unos minutos para dejarles algunas líneas y compartir algunos enlaces, pero en primer lugar quería agradecerles a todos y cada uno de los usuarios que estan dejando su voto en los Premios Bitacoras 2014, ya que en la primer clasificación parcial estamos en la posición 15 junto a otros excelente blogs de seguridad.

Y ahora si, les dejo el enlace de la novena edición The Original Hacker para leerla y aprender varias cosas interesantes.

El artículo estrella de la edición Nº 9 de The Original Hacker, es el que mejor representa al verdadero espíritu de la palabra Hacker. Se trata de «Las 12 reglas del aprendiz de Hacker», una guía para no solo convertirse en un buen estudiante de sistemas, sino también, para aprender a emplear la inteligencia estratégica en beneficio de la propia sabiduría. Un artículo que bien aprovechado podría convertirse en el futuro «Zen del Hacker».

Con la llegada de la última versión LTS de Ubuntu, la 14.04, comenzaron los problemas con Apache. La mayoría, generados por una política poco acercada por parte de Canonical, que en el afán por hacer un sistema «apto para usuarios poco ávidos» terminaron excediéndose, llegando a establecer configuraciones por defecto en binarios destinados a programadores, como el caso del paquete apache2 disponible en los repositorios. Sin embargo, en medio del caótico resultado, uno de ellos, resulta ser un bug que Apache se niega a reconocer como tal. En esta entrega, la «explicación del bug #56883 de Apache y la forma de solventarlo» hasta tanto los desarrolladores se animen a revisarlo.

Para retomar con «cosas raras» un artículo que parece salido del cajón de los recuerdos ¿alguien se acuerda de las TUI, las Text User Interfaces? Para los amantes del scripting, una «guía de desarrollo con dialog, la herramienta principal para creación de TUI con GNU Bash» y su disponibilidad en otros lenguajes como Python.

Finamente, se hace honor al verdadero hacking avanzando sobre uno de los temas más controvertidos y que mayor cantidad de discusiones genera en el mundo del desarrollo de aplicaciones Web: la «ingeniería de Web Software con Python y ¡Sin Frameworks!» En esta oportunidad, desmitificando otro de los tantos mitos que corren sobre el terreno de las aplicaciones Web: «el manejo de sesiones». En este artículo queda demostrado como con un simple «pip» y unas pocas líneas de código, el manejo de sesiones en Python NO requiere de frameworks para aportar seguridad, confianza y un desarrollo sustentable a la aplicación.

Perderse esta edición, podría ser peligroso para la salud. ¡Disfrútenla!

Saludos!

Enlace | The Original Hacker N° 9

Presentación de HTExploit en la Ekoparty 2012

En la última edición de la Ekoparty 2012, Maxi Soler y Matias Katz presentaron la herramienta HTExploit, explicando los diferentes fallos en las configuraciones que generalmente se realiza al intentar proteger con usuarios y claves diferentes directorios en servidores web.


Matías Katz y Maxi Soler - HTExploit from ekoparty on Vimeo.

HTExploit es una herramienta open-source escrita en Python, que explota una debilidad en el modo en que los archivos htaccess pueden ser configurados para proteger un directorio web mediante autenticación. A través del uso de esta herramienta, cualquiera podría ser capaz de listar los contenidos de un directorio protegido de esta forma, bypaseando el proceso de autenticación.

Mi almacenamiento en la nube privada con ownCloud

Desde hace ya un tiempo que estoy jugando con ownCloud, probando cada uno de sus componentes y el comportamiento que tiene ante sobrecargas en cuanto a usuarios, archivos y demás recursos.

La verdad que es una excelente herramienta para poner en producción y mantener tus archivos sincronizados, para aquellos usuarios que acostumbran a utilizar varios dispositivos a la vez y necesitan acceder a sus archivos desde cualquier terminal.

Entre las características básicas de ownCloud como servicio privado de almacenamiento, accesibilidad y sincronización de archivos, compartir información entre los usuarios, una interfaz web muy intuitiva para los usuarios, buscadores de elementos, clientes multi plataformas para Windows, Mac OSX y GNU/Linux, Calendario y Libreta de Contactos para sincronizar, la última versión 5.x cuenta con la posibilidad de extender a un almacenamiento externo y fusionar la nube privada con las publicas más populares como DropBox, GoogleDrive, S3, etc. Finalmente cuenta con servicios de Backups y migración, Task, API's públicas, Logging para auditorías y debugging en la instalación y algo que probé muy de cerca es la integración con los usuarios de LDAP/Active Directory que realmente funciona de maravilla.

Algo que me olvidaba de mencionar, es su Store de Aplicaciones para continuar extendiendo los servicios de ownCloud, allí es posible conseguir aplicaciones simples creada por la comunidad de desarrolladores.

Como les comentaba al principio del artículo, ownCloud realmente está demostrando en estos últimos años la excelencia en el desarrollo de nubes privadas, ya que con muy poco es posible montar un servicio indispensables para las compañías y escalarlo rápidamente dependiendo de las necesidades de cada uno.

Hace no mucho tiempo, publiqué y reporte un Google Dork sobre ownCloud que permitía tener acceso a archivos sin la necesidad de contar con un usuario en el sistema, esto se debía básicamente a una mala configuración en el servidor y quizás a algunos componentes que se podían incorporar a ownCloud, a día de hoy estas cosas se mejoraron en un 100% y los desarrolladores de ownCloud ya se encuentra capando mucho de estos componentes buscando mejorar la seguridad, por otro lado su sistema de actualización es constante.

Hackeando la nube sin herramientas por Matias Katz

Excelente charla impartida por Matias Katz, consultor de seguridad de Mkit en el último FLISoL 2013 de la Universidad Tecnológica Nacional Regional Buenos Aires.

Matias muestra la realidad y la seguridad de muchos proveedores de Cloud Computing, por otro lado acompaña su conferencia contando el método y la forma que lograron comprometer completamente a un proveedor.

Gracias al blog Linux para Todos de Claudio Cotar por compartir la conferencia.

Saludos!

Guía para Securizar un servidor web Apache

Luego de una serie de artículos publicados por INTECO (Instituto Nacional de Tecnología de la Comunicación) sobre la fortificación en las configuraciones del servidor web Apache2, a finales del 2012 publicaron una guía recopilando toda esta información.

La guía ofrece unos primeros pasos a administradores de sistemas sobre cómo implementar de forma segura el servidor web Apache en sistemas operativos tipo Unix/Linux.

Los temas que se tratan en el informe son:

• Cómo modificar la configuración de Apache y las medidas de seguridad que se deben aplicar al instalar el software.
• Las directivas principales para definir los ficheros que servirá Apache sin que se facilite el acceso a ningún otro archivo del servidor.
• Los métodos para tratar de minimizar la información expuesta que facilite ataques sobre el servidor web.

Google Hack: Averiguando el estados de un Servidor Web

Seguimos jugando un poco más con Google y sus maravillosas búsquedas, esta vez para averiguar el estado de un servidor web Apache.

Para esta tarea siempre es interesante entender el por qué de todas las cosas y es que en Apache, existe un módulo llamado mod_status que ofrece a través de una página web información sobre el estado del servidor, tiempo uptime, el total de accesos, datos enviados, numero de peticiones, estado de cada proceso y porcentaje de CPU.

Pero lo más interesante de todo esto, es que muchos servidores públicos no restringen el acceso a esta información, y solo basta con realizar en Google esta búsqueda:

intitle:"Apache::Status" (inurl:server-status | inurl:status.html | inurl:apache.html)

Fingerprinting en Wordpress: Parte IV

Hoy les propongo retomar el ejercicio de copilar información que nos brinda los Sistemas WordPress, pero en esta ocasión vamos a buscar información sobre el servidor que atiende esta pagina web.

WordPress es un CMS de tipo multiplataforma como gran característica, programado en PHP, sabemos que todos o por lo menos la gran mayoría de los servidores Web que atienden paginas HTTP lo hacen por su puerto 80, la idea es utilizar una herramienta como telnet para que el mismo servidor nos brinde esa información.

Google Hack: Servidores web con Apache

Y es que las arañas de Google no piden permiso para indexar lo que sea en la web, y por supuesto los “administradores” tampoco se privan de sacar las páginas innecesarias de sus servidores.

Es que con una pequeña búsqueda en Google, podemos ver como más de 68.000 administradores se olvidaron de eliminar la pagina de prueba que el servidor Apache crea al momento de la instalación.

intitle:"Test Page for Apache"

Como evitar listar los directorios en Apache2

Yo creo que si nos ponemos de acuerdo entre todos llegamos a la conclusión lo inseguro que es la web, mucho más cuando montamos nuestros propios servidores web, siempre tenemos que estar alerta antes intrusiones y estar pegados a los archivos log, por lo menos eso es lo que intento hacer desde mi experiencia.

Muchos de los problemas de inseguridad está dado por la falta de experiencia de los programadores, cuando realizan sus validaciones o concatenan sus consultas SQL y donde los posibles atacantes pueden llegar a tomar partido de esa situación. Pero muchas veces el problema puede estar del lado de los administradores de sistemas al no chequear bien los parámetros de configuración de esos servicios.

Hoy por ejemplo estaba viendo un archivo en formato .flv desde la web, cuando yo se que es posible descargarlo y poder verlo desde mi celular o directamente en otro momento, entonces realmente es muy simple conseguir la URL del archivo y descargarlo con wget. Cuando por esas cosas de la vida se me ocurre comenzar a escalar algunos directorios y me doy con que es posible navegar en los directorios del servidor sin ninguna restricción, con lo cuál encotré que había muchos más videos, archivos pdf, imágenes, etc.