DaboBlog

Bueno, sé que el título quizás es un tanto “comprimido”, pero como habéis podido comprobar, de un par de meses a esta parte, el ritmo de publicación aquí ha bajado.

Ando con la 4ª marcha metida y cerca de pasar “la ITV”, pero todo está ok y hoy ha sido un gran día, os cuento;

Y DaboBlog cumplió 5 años…

Para ser sincero, si Destroyer hoy no me avisa de lo del 5º aniversario del blog, se me hubiese pasado esta fecha tan “redonda”. No voy a repetirme mucho pero de veras, gracias a todos por el apoyo. A los de siempre, a la gente que se ha subido al carro de nuestro podcast (¡cómo iba a olvidarme de los compañeros de micro! ) y a quienes me acompañan y sacan adelante  Daboweb, Caborian o DebianHackers “sin salir tanto en la foto” como yo.

El 2010 ha sido un año de difusión para el blog , está todo resumido en la lamentable sección “Autobombo” -;).

Entrevistado en Security By Default (Por Alberto Ortega).

Bueno, si hablo de Security By Default, estamos hablando del blog ganador de los premios Bitácoras 2010 en la categoría “Seguridad”. Como algunos recordaréis, quedé en un (sorprendente para mi) 6º lugar en la clasificación final, podía añadir también un “no merecido” tal y como expliqué en mi entrada sobre los premios.

Pero también hablamos de uno de los lugares dedicados a la seguridad de referencia en el panorama nacional y por qué no decirlo, de Hacking en la acepción más “pura” del término. He cruzado twitters y mails con Yago Jesús, Alejandro Ramos y Alberto Ortega, (saludos al resto del equipo-;) son grandes profesionales en sus áreas de actuación, con curriculums impresionantes, pero también gente muy cercana y dispuesta a echar un cable a quien lo necesite.

Y precisamente, “le tocó el entuerto” (gracias por tu paciencia-;) a Alberto Ortega de hacerme la entrevista. Los más asiduos al blog o quienes siguieron mi participación en el pasado EFIMP de Gijón, conocéis mi devoción por una herramienta indispensable para mi, hablando de auditorías de seguridad llamada PenTBox, pues bien, él es su creador…

Acceso a; Entrevista a David Hernández (aka Dabo)

Muchas gracias a todo el equipo y suerte con vuestro Wargame !!

¿APACHEctl.com? Estamos de estreno.

En estado de “Beta final”, ya podéis acceder a apachectl.com, un proyecto que se viene gestando desde hace un par de años y en el que estoy implicado con un bonito “próximamente” en mi perfil (son unos liantes-;) con dos grandes profesionales y mejores amigos,  Antonio J Pérez (AJ) y Oscar Reixa (Oreixa).

Como podéis ver, es la extensión natural de nuestra cercanía con los servidores web y por ende, con GNU/Linux, que no se de soporte a servers bajo Windows no es una pose, nunca nos meteríamos en algo en lo que no tuviésemos la experiencia necesaria para sacar adelante un trabajo.

Muchas gracias a todos los colegas por las sugerencias, críticas y apoyo, pero especialmente a David Busto (sí, el de “ennegativo”-;) y a Dani Castaño (su “cuñao”) por la paciencia y buen hacer con nuestra imagen corporativa (uff eso me suena muy a emprendedor-iniciador 3.0, mal vamos…). El feed del blog y nuestro Twitter.

Yo ando a medio gas y prometo no spamear más de lo necesario (hasta que pase la ITV y meta la séptima-;).

Aquí ya veis que estamos como en Supercor, 3 (post) x1 para no petaros el feed, gracias !!!

Compartir

Tags: Apache, APACHEctl, Bitácoras, Blogs, DaboBlog, David Hernández, EFIMP, Entrevista, GNU/Linux, Hacking, Server

Lo primero que os recomiendo antes de empezar a leer esta entrada, es dar un vistazo (los asiduos a DaboBlog ya lo conoceréis) a este post sobre el resumen de mi participación junto a Oreixa en el pasado EFIMP (Eset Foro Internet Meeting Point) de Gijón en el que hablo de diferentes tipos de ataques web y control del tráfico en nuestro servidor GNU/Linux con herramientas como Mod Evasive, Apache Status, Mod Security, Medusa, Whatweb, Pentbox, APF Firewall, etc.

Más que nada lo digo porque cuando hablamos de ataques de fuerza bruta, solemos dar prioridad (obviamente) a servicios como ssh con soluciones como fail2ban o DenyHosts tal y como reseño en esa entrada pero ¿qué pasa por ejemplo con el FTP u otros tan sensibles como el correo?

Ahí es donde entra en escena BFD, una herramienta más de los creadores de APF Firewall (que por cierto, su trabajo es impresionante, mirad la lista, tengo que probar LSM, Linux Socket Monitor)

¿Qué es y cómo actúa BFD?

BFD es una aplicación creada por Ryan MacDonald con licencia GPL que una vez instalada, se ejecuta por defecto cada 3 minutos en el cron, buscando en logs relevantes del sistema (/var/log/secure, /var/log/auth.log, /var/log/messages, esto puede variar según la distro) rastros de posibles huellas de ataques de fuerza bruta (fallos de autenticación) en servicios como courier, cpanel, exim, proftpd , pure-ftpd, sshd, etc.

¿Cómo actúa? una vez que localiza el ataque (por defecto el valor que viene en su configuración es “TRIG=”15″, 15 intentos) ejecuta un comando del sistema para bloquear el host que lo ha provocado (por defecto usa el bloqueo de APF Firewall, asumiento, erróneamente a mi modo de ver, que se tiene instalado APF, este es el comando (BAN_COMMAND=”/etc/apf/apf -d $ATTACK_HOST {bfd.$MOD}”)

Aspectos a tener en cuenta. (Probado en Debian Lenny)

Pero en ese valor, (BAN_COMMAND=) podéis usar comandos de iptables, Shorewall, etc, u otro del tipo BAN_COMMAND=”route add -host $ATTACK_HOST reject”. Eso queda a vuestra elección y depende de qué tengáis instalado en el servidor web.

En el fichero de configuración principal que está en; /usr/local/bfd/conf.bfd también se puede definir además de los intentos de bloqueo, comando para rechazar el host atacante y el resto de opciones, que se envíe un e-mail (EMAIL_ADDRESS=”aquí el mail”) avisando del ataque y posterior bloqueo.

Su instalación es muy sencilla, una vez descargado con tipear un ./install.sh es suficiente pero en mi caso, me daba este error en el cron; Error: bad minute; while reading /etc/cron.d/bfd . No era el tiempo de ejecución sino que ahí también va un valor referido al email que hay que rellenar al igual que en /usr/local/bfd/conf.bfd;

MAILTO=aquí el mail, por defecto vacío
SHELL=/bin/bash
*/3 * * * * root /usr/local/sbin/bfd -q

Por lo que además de incluir el mail en la configuración principal; /usr/local/bfd/conf.bfd, también deberéis tener en cuenta este campo a rellenar en el cron; /etc/cron.d/bfd.

Para ver que funciona correctamente, hablando del cron, os recomiendo tener una consola con el siguiente comando;

tail -f /var/log/syslog | grep -i bfd

Y si todo va bien y no os sale el error de “bad minute”, se debería ver cada 3 minutos esto;

Oct 16 21:24:01 server /USR/SBIN/CRON[5017]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:27:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:30:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

También en /var/log hay un fichero que se crea referido a BFD (/var/log/bfd_log).

Lo último que os recomiendo, es que miréis bien tanto la documentación sobre BFD (Brute Force Detection) y como estamos viendo, leer tranquilamente los valores incluidos en el fichero de configuración principal (/usr/local/bfd/conf.bfd).

Este concretamente “syslog auth log path” puede variar, ya que por defecto incluye /var/log/secure y en Debian por ejemplo es /var/log/auth.log. A este tipo de detalles me refiero con mirar bien cada valor.

Además de todo esto, no paséis por alto comprobar las reglas (en /usr/local/bfd/rules) que incluye por defecto para las aplicaciones a proteger, borrando las que no tengáis en el sistema, o cambiando el valor “TRIG” para el bloqueo independiente deseado para cada servicio.

Si se escribe sin ningún parametro bfd en el prompt del sistema, veréis esto;

-s|–standard …….. run standard with output

-q|–quiet ……….. run quiet with output hidden

-a|–attackpool …… list all addresses that have attacked this host

Por defecto si os fijáis en la entrada del cron, se ejecuta con la opción “-q”, para ver la lista de IPs que han sido bloqueadas se usa el parámetro “-a”. Para comprobar su funcionamiento podéis usar Medusa con este comando para atacar una cuenta FTP;

medusa -h ip-host-a-atacar -u usuario_ftp -P passwords.txt -e ns -M ftp

Asumiendo que desde el directorio que estáis tipeando el comando, tenéis una lista de passwords llamada passwords.txt. (Podéis usar esta del proyecto Openwall aunque hay muchas y muy variadas).

Suerte con la instalación y espero que esta entrada os sea de ayuda para que deis menos vueltas que las que he dado yo para configurarlo, ciertamente no es que sea complicado, pero sí un poco farragoso por las conf que trae por defecto.

Compartir

Tags: APF, Ataques, Bash, BFD, Cpanel, Debian, e-mail, EFIMP, Firewall, FTP, GNU/Linux, iptables, Password, Proftpd, Server, Servidor Web, SSH

Ya os he hablado en varias ocasiones de mi participación junto a la de Oscar Reixa en el pasado Eset Foro Internet Meeting Point (EFIMP)que se celebró a finales del pasado mes de Julio en Gijón.

Tal y como dije en su momento, fue un placer compartir ponencia con Fernando De La Cuadra, director de comunicación de Ontinet (empresa que comercializa en España los productos de ESET, siendo el NOD32 el más conocido)y, hablando de ESET, tuve la oportunidad también de conocer a Josep Albors (su twitter), alguien a quien seguía la pista en Internet al igual que a Fernando por sus publicaciones en el blog de ESET o en el Laboratorio de Ontinet.

En nuestra charla-ponencia hubo buena sintonía ya que hablábamos los 3 el mismo idioma, además, estuvimos charlando tanto antes del evento como después en el fin de fiesta y allí, ya sin la presión del momento, me reafirmé en lo que pensaba.

Pero lo que realmente no me esperaba, es que nos dedicase a Oreixa y a mi su columna en la revista Linux +, ha sido concretamente en la de este mes de Agosto (número 58), en el cierre, pag 50, ejemplar que se puede descargar libremente en PDF y leerla con toda su calidad, ya podía cundir el ejemplo, sobra decir que como todos los números, tengo algunos por aquí en papel, muy interesante este último.

Haciendo click en la imagen superior puedes descargar el artículo.

Quizás lo más me puede enorgullecer es el título del artículo “Si quieres ser un experto…enseña sin presumir“, para alguien que como es mi caso, se considera un eterno aprendiz en este mundillo tal y como dije en mi ficha de participación en el EFIMP (PDF), es todo un orgullo que alguien con la trayectoria y reputación de Fernando De La Cuadra, se haya llevado esa impresión de nosotros.

No fuimos a vender ninguna moto ni hacernos pasar por gurús de nada, en nuestra participación, simplemente contamos las cosas tal y como nos suceden a diario y las posibles soluciones que dimos a esos problemas que vamos detectando, son algunas de las que ponemos en práctica regularmente.

Tanto Oreixa como yo, dimos conceptos sobre como puedes intentar que tu servidor web sea un entorno de producción más seguro y eficaz, pero también hablamos a nivel de WordPress con consejos que le podían servir a más gente, pistas sobre cómo actuar con ejemplos en nuestros servidores, sólo eso.

Dejando muy claro (hablando en esta ocasión de mi) que aún a sabiendas de que no es un camino fácil, si lo puedo hacer yo, lo puede hacer cualquiera con un mínimo de interés y/o necesidad. Ese fue el mensaje que de alguna forma quisimos hacer llegar a quienes tuvieron a bien seguir la charla..

Muchas gracias por el detalle, de verdad, la hago extensivas también a Debish por avisar, uno no sale tanto en los medios como para que un hecho así no le sorprenda. Fernando ha sido quizás demasiado generoso con su descripción, pero te vas dando cuenta de que el esfuerzo y la preparación merecieron la pena (como algunos sabéis estaba pasando una gripe veraniega) cuando lees y te comentan que fue útil y aplicable en gran medida por alguien con unos mínimos conocimientos en la administración de sistemas GNU/Linux.

Si no quieres descargar toda la revista (recomendable), aquí está el artículo de linux+ .

Compartir

Tags: Dabo, DaboBlog, EFIMP, Fernando De La Cuadra, FIMP, GNU/Linux, Oscar Reixa, revistas