Upload
hecky-neobitsorg
View
3.528
Download
0
Embed Size (px)
Citation preview
Agenda
• Presentación
• Fortalecimiento de Wordpress
• Detección de una vulneración y Recuperación de un
ataque
¿Quién soy?
• Héctor Cuevas Cruz
• Seguridad Informática (Casi 5 años)
• Miembro de la Unidad de Seguridad InformáticaExaminador Forense en INFOTEC
• Presentador en ( BugCon, FLISoL )
• Esteganografía, Shell Scripting, Informática Forense
• Creador de Neobits.org
@ h e c k y
¿Qué es el Hardening?
• Es el fortalecimiento de un sistema, la configuración correcta y consciente de los aplicativos para disminuir las probabilidades de un ataque.
• “Hacerle la vida mas difícil a tu atacante…”
¿Para qué tantas molestias?¿A mí quién querría atacarme?
• Ego
• Reto personal (aprendizaje)
• Reto
• Almacenar contenido ilegal
• Distribuir Malware
• Botnet
¿Qué es y para que sirve?
• Archivo de configuración de Apache a “bajo nivel”
• Podemos configurar opciones del servidor sin alterar el archivo de
configuración principal
• Contiene un poderoso motor que nos permite “Programarlo”
Reglas Primordiales
• I nd e x I g no r e *
• O p t i o ns A L L – I nd e x e s
• S e r v e r S i g na t u r e O f f
Códigos de protección .Htaccess¿Nuestra salvación?
• http://pastebin.com/mvLqHdRY
No copiar códigos nada mas por copiar
• Analizar los códigos
• Personalizarlos
• Usar solo lo necesario
• Aprender o contratar a un especialista en configuración de estas directivas
Wp-config.php
<files wp-config.php>
Order allow,deny
Deny from all
</files>
• Prohibir la edición de temas
define('DISALLOW_FILE_EDIT', true);
LoginLockDown - Plugin
• Plugin Sencillo que bloquea intentos de accesos
• Personalizable
• Configuración Básica
• Usa una pequeña tabla en la BD
Otras…
• Auditar Plugins ( Vulnerables)
• Evitar Plugins Maliciosos
• ACTUALIZAR todo
• Hacer respaldos periódicamente
• Verificar logs periódicamente
• Proteger directorios y archivos que se deban
• Borrar archivos de instalación
• Y….
LOGS
• Crear nuestro propio sistema de logs
<?php$f = fopen("LOGS.txt","a");fwrite($f, "\n\n\n\t\t\tIP: ".$_SERVER["REMOTE_ADDR"]."\n\n");fwrite($f, "\nURL: ".$_SERVER["REQUEST_URI"]);fwrite($f, "\nReferer: ".$_SERVER["HTTP_REFERER"]);fwrite($f, "\nDATE: ".date("d-m-Y H:i:s:u"));fwrite($f, "\nPOST:");fwrite($f, "\n".var_export($_POST, true));fwrite($f, "\nGET:");fwrite($f, "\n".var_export($_GET, true));fwrite($f, "\nCOOKIE:");fwrite($f, "\n".var_export($_COOKIE, true));fwrite($f, "\nSERVER:");fwrite($f, "\n".var_export($_SERVER, true));fwrite($f, "\n-------------------------------------------------------------------------------------");fclose($f);?>
Protegerlo
Me han “hackeado”…Y ¿Ahora?
• Dar de baja temporal el sitio.
• Si se tiene un espejo activarlo.
• Investigación de la intrusión
• En caso de ser Irrecuperable el sistema restaurar backup
• Activar sitio
• Hacer MAS HARDENING (Aplicar lo aprendido del ataque)
Investigación Forense
• Identificar que tipo de vulneración fue
• A que nivel
• Identificar archivos modificados
• Identificar archivos agregados
• Checar Base de Datos
• Checar usuarios, contraseñas
• Inclusive Imágenes
• Comparar archivos con backup o con CMS nuevo
¿Es necesario hacer todo esto?
• Si, si se quiere seguir en línea con la pagina
• Muchas paginas nunca se recuperan
• Muchas paginas aun tienen el ataque
Conclusión
• Hay que proteger un servidor y todos sus aplicativos
• Nunca desatenderlos y checarlos periódicamente
• Ante un ataque responder de manera rápida ( Nuestra página web es nuestra carta de presentación en la era digital)
• Recuperar todos los servicios
• APRENDER
• Y…SEGUIR