Nos ha pasado


Hace algunas horas, La Comunidad DragonJAR y el foro SinfoCol, dos sitios donde se comparte información de seguridad informática en Colombia, sufrieron una brecha de seguridad que permitió al grupo argentino TurroSec (quienes se atribuyeron el ataque) poner un “bonito” cartel en ellos.

Defacement Nos ha pasado

¿que hacer cuando cosas así pasan?

Lo primero que debemos hacer en estos casos es mantener la calma, esto pasa hasta en las mejores familias y sin dejarse alterar por los hechos iniciar la investigación correspondiente.

Los pasos a seguir:

  • Utiliza un computador y una conexión diferente a la que normalmente usas, ya que estas pueden estar comprometidas.
  • Aislar el servidor para evitar modificaciones mientras se trabajaba sobre el.
  • Descarga los logs del sistema para su posterior análisis
  • Suspende una a una las cuentas del servidor para activar solo las que pasen por tu revisión.
  • Restaura un backup reciente.
  • Utiliza expresiones regulares o herramientas especializadas para buscar webshells en tu sistema.
  • Cambia todas tus contraseñas, incluso las que no se vieron afectadas en el incidente.
  • Si utilizas un CMS como es el caso de la comunidad, elimina todos los archivos de su instalación y reemplazados por una copia limpia de la pagina oficial.
  • Revisa los logs en busca de conexiones sospechosas que puedan darte indicios de como se cometió el ataque, enfócate primero en las fechas mas cercanas al incidente y luego ve analizando fechas anteriores.
  • Actualiza el sistema operativo de tu servidor y realizar procesos de hardening para cada servicio, los servicios que no uses simplemente desinstálalos o detenlos.
  • Finalmente pon en línea de nuevo el servidor, habilitando solamente los sitios a los que le realizaste los anteriores pasos.

Es posible que no encontraras y taparas todos los agujeros de seguridad y que vuelvan a dejar el bonito anuncio en tu pagina, no te preocupes, solo repite los pasos hasta que encuentres la fuente del problema.

En cuanto al defacement de la comunidad, cabe aclara que aunque es probable que se tuviera acceso a las bases de datos, la información publicada como leak no tiene relación con los registros en la comunidad o la información almacenada en ella.

Con el tema de las cuentas personales y en especial por la publicación de una cuenta en concreto, se descubrió una brecha de seguridad que no tiene que ver con el servidor, pero esta situación ya esta siendo atendida, afortunadamente y gracias a la autenticación de 2 pasos, no paso a mayores.

Pd. mientras reviso a fondo el foro, el dominio comunidad.dragonjar.org estará re direccionando a www.dragonjar.org, pero no se ha perdido información ni de registros ni de aportes. - Listo

Espero que al igual que el artículo con Los ERRORES que me costaron un MacBook Pro, aprendamos de esta Situación y sirva de guia para quienes puedan pasar por un caso similar.

Es mas fácil destruir que crear, agradezco a quienes han mostrado su apoyo, y quienes no tranquilos que comunidad tendremos para un buen rato…


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • raven

    Una lástima que pasen cosas así entre comunidades de seguridad informática, en vez de apoyarse unas a las otras. En fin, buen trabajo por parte del staff de DragonJar, seguid así! ;)

  • gr1s0n

    totalmente de acuerdo
    por lo menos han sabido ponerle buena cara y han exo un tuto-protocolo post deface cojonudo
    un saludo desde aqui

  • Bonedragon

    Como siempre digo, todas las situaciones por adversas que estas sean te dejan algo bueno, pero siempre hay que ir para adelante.

  • dieguito3285

    soy de argentina pero apoyo 100% a la comunidad dragonjar, me alegra mucho ver a la comunidad activa nuevamente y ojala siga asi por muchisimo tiempo mas.

  • p1r4t0s

    me quedo con la frase: “pasa hasta en las mejores familias xD”

  • willymtx

    que bueno que la comunidad no aya tenido riesgos graves. saludos y exitos a la comunidad.

  • Adolfo Fioranelli

    Estimado, todo mi apoyo, justo ayer Twiteaba el referenciado articulo de la MacBook Pro y anoche lo mencione en un articulo mio (tambien linkeado por supuesto) y hoy me encuentro con este otro golpe.
    La leccion de todo esto es “de los errores se aprende…” y vos tenes la grandeza de publicarlo y de esta forma no solo aprendes vos sino todos :)
    Abrazo
    A

  • tinpardo

    Ojala publicaran un paper de cómo se hizo el ataque por parte de los atacantes y un paper de la investigación por parte de DragonJar, interesante aprender cada día mas de las experiencias.

  • filo

    A la jarra le falta hielo pare se fue :p …. jodidamente pegajoa la cancion dragon

  • fash666

    como siempre primero la actitud como profesionales =) saludos

  • http://SitioWeb(opcional) MIGUEL

    ¡Enhorabuena! esto sólo les pasa a los mejores, a los que llaman la atención. Ahora a mejorar aún más y a seguir trabajando como hasta ahora.

    De los errores se aprende mucho. Espero vuestro análisis sobre como fue el ataque y como atajarlo.
    Un saludo

  • Unknow

    El tema no es de destruir o apoyar. Considero que no podemos quedarnos dándonos consuelo y salir con frases de cajón como “hasta en las mejores familias sucede”. Es tan simple como si esto sucediera en tu empresa y tu eres el administrador seguramente ya estarías despedido. Espero que esto no quede en una simple guía de que hacer en estos casos si no que se detalle en términos de análisis forense que fue lo que ocurrió y el porque ocurrió. Debemos ser muy buenos en lo que hacemos… mas aun si nos dedicamos a dar charlas de seguridad informática.

    • http://www.dragonjar.org DragoN

      No creo que nos estemos “dando consuelo” unknow, solo estan expresando sus comentarios frente a lo sucedido, de momento no se publicará ningun informe tecnico sobre el ataque ya que serán reservados para la investigacion judicial.

  • tinpardo

    Vuelvo a leer el post de Cristian de Seguinfo y dice que el ataque posiblemente fue con HTExploit, ahora leo este articulo y veo que dice que el problema no fue del servidor. Sin tener conocimientos de la investigación y dando una crítica a priori creo que falta aceptar los errores de una mejor manera, ademas “gracias a nuestra doble autenticación no paso a mayores”…mmm… los post son publicos, la base de datos se filtro y se hizo defacement del sitio… como dice el post a cualquiera nos puede pasar, no por aceptar nuestros errores se deja de ser persona. esperemos a la investigación.

  • Pingback: Bitacoras.com

  • Nacha la garnacha

    Argentina? Cuevana? mmmm…

  • neotrons

    Algunos hablan de una vulnerabilidad en wordpress, no quisiera adelantarme pero dragonjar y sinfocol utilizaban wordpress jodida coincidencia no

  • Alex

    tenia 2 sitios de worpress sin actualizar y me los defacearon tambien xD…

    • http://www.dragonjar.org DragoN

      en este caso los sitios tenian la ultima version de wordpress

  • Pingback: Deface y robo de información al sitio DragonJAR

  • Argentino_avergonzado

    Creo haber visto a estos “pseudo juackers” en la eko, son un grupo de pendejos que tienen tiempo de sobra para destruir pero mas triste es que se creen hackers super grosos solo por haber adquirido algunos conocimientos. Segui adelante trabajando Jaime y no te preocupes, estos niños pronto sabran que hay una vida mas alla de su teclado (evidentemente no la tienen)

  • http://alejandro.im Alejandro

    Bueno pues como dice ud es algo que pasa en muchos lados y más cuándo hay personas quizás todos los días hay personas perdiendo su tiempo y muriendo de envidia. #elqueloentendioloentendio.

    Saludos

  • Darìo

    Lo importante es que han regresado, nos han enseñado y no nos han dejado solos. Que se pudràn los envidiosos.

    Saludos.

  • nobody

    Sea como sea que se les llame, con o sin vida ownearon el dragonjar, una de las comunidades de seguridad informática en habla hispana más importantes… ahora a aprender del error…

  • alejus

    A no bajar los brazos, a seguir para adelante y que sirva para crecer día a día siendo mejores personas y mejores profesionales. Saludos desde Argentina.

  • http://SitioWeb(opcional) Nadie

    Nadie es infalible ni perfecto, lo que sucedió lo demuestra.
    Se aprendió de la experiencia y ahora somos mejores.

    Refutando lo que dice Unknow, Conozco administradores que les ha pasado y no los han despedido, conozco otros que si, todo depende de que tan profesional sea el administrador.

    También depende de la actitud del superior, si todos los superiores tienen la misma actitud de Unknow habría mas desempleados
    en este país.

    Saludos

  • schizofr3nic_wAr

    Nos enseña que la seguridad informatica es una ciencia no un hobbie y debemos estar actualizados como todo un equipo de trabajo para evitar lo anteriormente sucedido, Animo dragon hay que trabajar más fuerte.

  • http://Hackdosx.blogspot.com car

    Un saludo desde España a la comunidad DragonJar y mi apoyo incondicional hacia esta comunidad. Por otro lado solo decir que este tipo de actos hacia una comunidad como esta la cual solo pretende dar información veraz sobre seguridad e inseguridad informática son deplorables, un saludo.

  • http://www.lock-bit.com.mx 4rqu1nf0rm4c10n

    Para los que les es muy facil criticar o reclamar me guataria verlos en accion, me imagino que critican porque han de ser propietarios o administradores de un bunker inviolable de datos, por otra parte esto es una comunidad en donde de manera altruista y de buena fe se intercambia informacion y conocimientos por origen no esta obligada esta comunidad a tener un bunker de seguridad y aun asi Jaime le pone profesionalismo al protegerlo. Es comunidad de intercambio muy valiosa, no pagamos nada de dinero por ella y los que exigen suprema seguridad aporten antes de exigir en algo que no gastan ni un solo centavo. El que mantiene viva la pagina y no es un Dios y si creen ser mejores demuestrenlo ayudando a esta comunidad que tanto nos ha dado

  • http://www.brianur.info BrianUR

    Me llamó la atención lo de la BD publicada, no hace falta ser un genio para darse cuenta de que los campos y la información de la misma no están relacionadas con lo que sería una BD de un foro. “Es mas fácil destruir que crear” Amen.

  • Pingback: Lo mejor del 2012