Taxonomía de ataques Web a Elastix (II)

ataques web elastix

Antecedentes
El año pasado publique un post sobre algunas técnicas que estaban siendo usadas para ataques a servidores Elastix a través de la interfase de administración, bueno todo cambia y por supuesto los ataques también.

Revisión de logs
Desde hace unos meses están apareciendo en el log de apache este tipo de registro en el log de  apache.

 

ataques-elastix

ataques-elastix

Evidentemente, se trata de un atacante, en pleno proceso de descubrimiento de archivos y carpetas en el servidor, realizado con los ya conocidos “web scaners”.

 

Bloqueo
Para esto encontré en este blog, una manera muy interesante de bloquear este tipo de ataques usando fail2ban, con algunas modificaciones para Elastix, que a continuación explico.

 

1.- Detección y bloqueo de  “w00tw00t.at.ISC.SANS.DFind”

A.- Crear las Definiciones

vi /etc/fail2ban/filter.d/apache-w00tw00t.conf

[Definition]
failregex = ^.*\[client <HOST>\].*w00tw00t\.at\.ISC\.SANS\.*.*
ignoreregex =

B.- Añadimos el comportamiento o jaula en el archivo de configuración central

vi /etc/fail2ban/jail.conf

[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables-allports[name=w00tw00t]
logpath = /var/log/httpd/access_log
maxretry = 1
bantime = -1

2.- Detección y bloqueo de “/phpMyAdmin/main.php”

A.- Crear las Definiciones
vi /etc/fail2ban/filter.d/phpMyAdmin-admin.conf

[Definition]
failregex = ^.*\[client <HOST>\].*phpMyAdmin\/admin\.*.*
ignoreregex =

B.- Añadimos el comportamiento o jaula en el archivo de configuración central

vi /etc/fail2ban/jail.conf

[phpMyAdmin-admin]
enabled = true
filter = phpMyAdmin-admin
action = iptables-allports[name=phpMyAdmin]
logpath = /var/log/httpd/access_log
maxretry = 1
bantime = -1

 

Conclusiones

– Reitero, si cuentan con la interfaz de administración de Elastix de cara a internet , es necesario dar mucho seguimiento a los logs de Apache

– De manera general, tratar de apoyarse en herramientas que pueden detectar de manera proactiva, ciertos comportamientos como este caso Fail2ban
Espero les sirva la información , veremos que nos trae los próximos meses

 

 

 

 

 

 

Anuncios
Esta entrada fue publicada en Manuales y tutoriales por jroliva. Guarda el enlace permanente.

Acerca de jroliva

Juan Oliva, es un consultor de seguridad informática y telefonía IP con 10 años de experiencia en el campo . Muy involucrado en proyectos de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática. Así mismo, desarrolla proyectos de implementación y mantenimiento de VoIP, basadas en Asterisk y Elastix, proyectos de callcenter, soluciones en la nube y hosted PBX, Aseguramiento de plataformas Linux, Windows. Ha estado trabajando para una variedad de empresas en donde ha desarrollado proyectos para el estado peruano, así como para entidades privadas, nacionales y del extranjero, cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP. Es instructor de cursos de Ethical Hacking y certificaciónes como Linux Professional Institute y Elastix, donde ha tenido oportunidad de realizar capacitaciones en el Perú, así como en el extranjero. Es investigador de vulnerabilidades, y creador de contenidos, que son publicados en su blog personal jroliva.wordpress.com el cual mantiene desde hace mas de 6 años.

2 pensamientos en “Taxonomía de ataques Web a Elastix (II)

  1. Juan, buenas tardes,

    ¿El fichero a monitorizar por el f2b sería el “/var/log/httpd/access_log” o más bien debe ser el “/var/log/ssl_httpd/access_log”.

    Saludos y gracias,

    Ramses

  2. You constructed some outstanding tips within your blog
    post, “Taxonomía de ataques Web a Elastix (II)
    Juan Oliva”. I’ll wind up coming to ur website eventually. Thanks a lot -Maricruz

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s