IvanHQ

En el curro hemos tenido problemas con una vulnerabilidad de VHCS (el sistema de paneles de control de hosting). Existe un historial de 4 bugs MUY criticos que permiten cambiar los passwords de los usuarios arbitrariamente, crear nuevos usuarios administradoress y ejecutar cualquier script PHP del sistema de paneles sin control de permisos.

De esta forma, el atacante ha creado cuentas FTP en todos nuestros dominios y ha subido contenidos de phising y defacements varios.

Aviso por si alguien usa este sistema que le eche un ojo a los siguientes enlaces: el advisory, el exploit, la herramienta que ha usado el script kiddie, threat en el foro de VHCS que habla del asunto.

Lo más triste es que haya sido culpa de un bug que ya estaba avisado, que se había enviado el parche a los autores y que el fuente oficial de la aplicación no lo incluía ni tenía solventado el bug.

Siempre me ha parecido interesante chrootear servicios. No tiene por qué ser insegura una shell de por sí si está actualizada, pero si se trata de un entorno de producción la cosa cambia. Hoy dando unas vueltas en busca de un colorizador de logs he tropezado con Jailkit (no sé por qué, la verdad), que es una herramienta para construir home’s chrooteados y/o limitados. Después de echarle un ojo lo he probado. Es sencillo de usar, y trae herramientas para construir cierto tipo de jaulas limitadas pre-fabricadas. Es evidente que lo suyo es construir la jaula a medida, pero para quien no quiera perder demasiado tiempo ya le viene bien. La documentación también es sencilla y directa. En un momento he montado una jaulita y he creado dos usuarios, uno que tiene una shell chrooteada normal, y otro que solo puede ejecutar “ssh”.

Respecto al colorizador de logs… después de haber usado durante años colortail y colorize, ahora he encontrado multitail, que no sólamente coloriza logs sino que además junta en una misma consola el tail de varios ficheros. Una vez lanzado, tiene una help (F1 o CTRL+h) que muestra todas las opciones sobre las ventanas activas. Se puede cambiar el orden de las ventanas, mostrar estadísticas por log, editar los valores RGB de los colores usados para marcar los logs, aplicar expresiones regulares a la salida de texto mostrada en cada ventana, establecer marcas a lo largo del log para comprobar diferencias en el tiempo, ocultar ventanas, cambiar el tamaño de las ventanas, cambiar el tamaño de los búferes de las ventanas, pausar ventanas, alinear horizontal o verticalmente las ventanas… (paro porque me asfixio, es BRUTAL).

Ahora, en la misma primera terminal de mi firewall ahora puedo ver, con sólo encender el monitor, un tail del syslog y el log de netfilter en dos ventanas separadas, como un split (:sp) de vim.
También puedo entrar desde el trabajo al firewall de mi red particular utilizando una cuenta de usuario limitado, que sólamente puede ejecutar SSH para entrar a las máquinas que quiero usar.