http://karpoke.ignaciocano.com/tags/log/Recent content in Log on Karpoke - Just Another BlogHugo -- 0.159.0esMon, 07 Mar 2011 22:11:00 +0100http://karpoke.ignaciocano.com/2011/03/07/detectando-intrusos-en-ubuntu-maverick-meerkat/Mon, 07 Mar 2011 22:11:00 +0100http://karpoke.ignaciocano.com/2011/03/07/detectando-intrusos-en-ubuntu-maverick-meerkat/<p>Un artículo para tener en cuenta algunas de las acciones que podemos llevar a cabo para <a href="http://dzulkifli.com/index.php?option=com_content&amp;view=article&amp;id=109:securing-maverick-meerkat&amp;catid=35:ubuntu&amp;Itemid=85">securizar Ubuntu Maverick Meerkat</a>. Algunos programas para facilitar la tarea de controlar los intentos de acceso al sistema:</p> <h2 id="ufw">ufw</h2> <p><code>ufw</code> es una forma sencilla de manejar un cortafuegos. Nada más instalarlo, lo habilitamos:</p> <pre tabindex="0"><code>$ sudo ufw enable </code></pre><p>Damos de alta los servicios^<a href="#servicios">1</a>^ que queremos que estén disponibles:</p> <pre tabindex="0"><code>$ sudo ufw allow http $ sudo ufw allow https $ sudo ufw allow 1234 </code></pre><p>Si queremos deshacer alguna de estas acciones, por ejemplo, eliminar la regla para el puerto 1234:</p>http://karpoke.ignaciocano.com/2011/01/17/w00t-w00t/Mon, 17 Jan 2011 04:18:00 +0100http://karpoke.ignaciocano.com/2011/01/17/w00t-w00t/<p>Si revisamos los <em>logs</em> del servidor web, de vez en cuando aparecen toda una serie de peticiones del tipo:</p> <pre tabindex="0"><code>193.108.81.203 - - [12/Jan/2011:16:48:31 +0100] &#34;GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1&#34; 404 488 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:34 +0100] &#34;GET /db/scripts/setup.php HTTP/1.1&#34; 404 471 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:35 +0100] &#34;GET /mysql/scripts/setup.php HTTP/1.1&#34; 404 473 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:35 +0100] &#34;GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1&#34; 404 480 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:38 +0100] &#34;GET /phpmyadmin/scripts/setup.php HTTP/1.1&#34; 404 477 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:38 +0100] &#34;GET /pma/scripts/setup.php HTTP/1.1&#34; 404 472 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1&#34; 404 479 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1&#34; 404 480 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /web/scripts/setup.php HTTP/1.1&#34; 404 472 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] &#34;GET /websql/scripts/setup.php HTTP/1.1&#34; 404 474 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] &#34;GET /webadmin/scripts/setup.php HTTP/1.1&#34; 404 476 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] &#34;GET /sqlweb/scripts/setup.php HTTP/1.1&#34; 404 474 &#34;-&#34; &#34;ZmEu&#34; 193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] &#34;GET /websql/scripts/setup.php HTTP/1.1&#34; 404 474 &#34;-&#34; &#34;ZmEu&#34; </code></pre><p>En este caso, la IP parece ser del <a href="http://www.ipillion.com/ip/193.108.81.203">Reino Unido</a>, pero va variando, así como la petición característica que hace al principio y el <em><a href="http://httpd.apache.org/docs/2.0/es/logs.html">user agent</a></em> del final, &ldquo;<a href="http://linux.m2osw.com/zmeu-attack">Zemu</a>&rdquo;. En otras ocasiones, la petición es <code>/w00tw00t.at.ISC.SANS.DFind:)</code>.</p>