Ataque a Plone 2.1 Re: [Usuarios Plone] Me presento

Juan Gómez txontaweb at telefonica.net
Sat Nov 7 18:41:17 UTC 2009 

Gracias Franco por tu respuesta.
Abajo comento tus aportaciones, por parrafos.
----- Original Message ----- 
From: "Franco Pellegrini" <frapell at gmail.com>
To: "Juan Gómez" <txontaweb at telefonica.net>
Cc: <usuarios-plone at lists.plone.org>
Sent: Saturday, November 07, 2009 6:14 PM
Subject: Re: [Usuarios Plone] Me presento


2009/11/7 Juan Gómez <txontaweb at telefonica.net>:
>> Saludos a todos.
>> Me presento.
> >Son ya unos años (como pasa el tiempo) siguiendo vuestra lista
> >usuarios-plone (y Hispazope y plone-cono-sur y plone-france).
> >También hace ya años de mi 1º plone http://tleo.objectis.net dedicado a 
> >la
> >literatura (la comunicacion escrita, lectura, ecritura, la actualidad
> >etc) fue el que me animo a introducirme en la informatica tecnica.
> >Mi perfil es el de un aprendiz de administrador de zope y plones. Llegado 
> >al
> >phyton me paro y aun no he empezado pero tengo la base (y
> >documentación) para hacerlo y con el tiempo dios dirá. Ahora mismo tengo
> >tres plones [1] todos ellos se los agradezco a objectis.org.
>>
>> He decidido mandar mi cuestión a usuarios-plone en vez de hispazope por 
>> que
>> creo que se puede ajustar mas.
>> Y la razón por la que me he visto necesitado de consultar con vosotros es
>> que http://tleo.objectis.net a sido atacado y las consecuencias son 
>> obvias.
>> Dos posibles temas (o vertientes) del problema:
>> 1- Analisis forense. ¿Como se ha llevado a cabo el ataque?. Metodo,
>> vulnerabilidad, precauciones posibles (defensa) etc..
>> 2- Rehabilitación. ¿Como restituir el plone al momento justo anterior en 
>> que
>> colapsó? (el undo falla).
>>
>> Así que quizás deba de abrir dos hilos diferentes (o lo que haga falta)
>> vosotros direis.
>> Pienso en uno que se titule en principo ataque en plone 2.1 (zope 2).
>>
>> 1- Respecto a la 1ª cuestión, aun http://tleo.objectis.net/view arroja un
>> traceback de error. He colgado en:
>> http://cursoweb.objectis.net/masde4000Undos.rar toda la lista de Undos de
>> tleo ahi se puede ver el listado de acciones y con ella como progresó el
>> ataque. Se crearon +o- 2000 usuarios, se le llama ataque DNS (denegacion 
>> de
>> servicio) y -supongo- que fué inyectando codigo después de capturar una
>> cookie de session. He visto que es -o era- una vulnerabilidad importante 
>> en
>> plone.
>> En http://www.tleo.objectis.net/PesodelaWeb se puede ver que el nº de
>> objetos del portal es igual al maximo nº de objetos alojables.
>>
>> 2- Respecto al 2º: a) habré de asegurarme que el plone no contiene codigo
>> malicioso. y b) puedo ir al grano diciendoos que me encuentro (despues de
>> descubrir que existe un manage_emergency por el que ya consigo acceder a
>> ZMI) con que falta la carpeta portal_actions así que reparar esta falta 
>> será
>> imprescindible ¿? (titulo posible para el 2º tema: reponer portal_actions
>> borrado ¿?). En una replica en local del sitio que tengo, no se soluciona
>> con copiar otra carpeta Portal_Actions.
>>
>> [1] http://tleo.objectis.net , http://cursoweb.objectis.net ,
>> http://georges-braque.objectis.net
>>
>> Bueno gentes. Se agradece de antemano toda la ayuda que podais prestarme 
>> y
>> aprovecho la ocasión para felicitaros por lo ejemplar de la lista y en
>> especial toda esa gente que estais ahi dia a dia dispuestos a no dejar 
>> pasar
>> ni un tema por alto.
>> Saludos y Gracias.
>> Juan
>> _______________________________________________
>> Usuarios-Plone mailing list
>> Usuarios-Plone at lists.plone.org
>> http://lists.plone.org/mailman/listinfo/usuarios-plone
>>
>>
>
>Hola Juan, bienvenido a la lista. Una lastima que las circunstancias
>que te traigan sean tan desafortunadas... si bien no tengo un
>conocimiento en cuanto a vulnerabilidades de Plone o de como prevenir
>ataques en general, te doy algunas opiniones y por ahi algo te sirve.
>
>En primer lugar, te digo lo que cualquiera te diria en primer lugar...
>esa version de Plone es demasiado vieja, siempre hay que tratar de ir
>migrando a versiones mas nuevas para que este tipo de cosas no
>pasen...

Entiendo lo que dices, y está entre mis planes proximos:
1- conseguirme un servidor virtual.
2- actualizar todos los plones
Ahora no tengo acceso a la raiz de zope, solo al zmi de mi instancia.
Así que tengo unos pasos previos para llegar a hacer lo que me aconsejas, 
que es lo mas conveniente.

>Con respecto a lo 1º que mencionas, no creo que el problema que estas
>experimentando haya sido causado por un DoS o un DDoS ya que estos
>tipos de ataque se enfocan por lo general en saturar la red, más que
>en lograr acceso.

Es posible que equivoque los terminos, tampoco yo soy experto en estas 
terminologías.
La tactica empleada para tumbar el sitio es clara: generar usuarios hasta 
bloquear el sitio.

>De alguna vulnerabilidad de Plone se han
>aprovechado, y creo que la unica manera que lo sepas es que el
>atacante te lo informe, ya que por lo general suelen borrar "sus
>huellas" al acceder al sistema.

Sugerí la posibilidad de la captura de una cookie de sesion pues 
investigando he visto que es una vulnerabilidad -de alguna manera- 
recursiva, que se repite en las diferentes alertas y parches, a lo largo del 
tiempo. ¿CVE-2008-1394? 
http://www.packetstormsecurity.org/0803-advisories/Hacking_Plone_CMS.pdf
Podría añadir a este respecto:
- Los atacantes estuvieron bastante tiempo intentandolo, podría ajustar 
cuanto: cerca de 3 meses.
- Durante este tiempo recibía comentarios del portal firmados de forma 
farragosa.
- y multiples y repetidos mails invitandome a visitar webs que se insinuaban 
como de porno explicito. Supongo que de estas webs trampa que roban datos de 
los visitantes. No tuve la tentación de acceder a ellas.
Quizás solo fueran intentos mientras con el tiempo se informaban de 
vulnerabilidades (he visto que de este tipo al menos hay 3 en 2008).

>Yo me preocuparia ahora por recuperar la instancia como estaba antes
>del ataque, y migrar a una version mas nueva... y dada tu situacion (y
>que yo nunca toque un Plone 2.1, arranque desde 2.5, asi que mucha
>idea no tengo), creo que no te queda mas remedio que recuperar un
>backup del Data.fs y reemplazarlo... asumiendo que tenias backup :P

El Data.fs está en el directorio de la maquina y solo su administrador 
accede a el ¿cierto? esa maquina debe estar como a mil km de mi casa.
Respecto a Backups (via zexp) tenía uno de un mes antes. Se da la casualidad 
de que esos dias (incluso ese mismo día) un usuario (amigo) habia subido 
textos, comentarios, conversaciones etc. Si pudiera lo recuperaría.

>Por ultimo, pareciera que han logrado acceso no solo a Plone, sino
>tambien al servidor, ya que el sitio que pasaste
>http://tleo.objectis.net no tiene pinta de ser un Plone... asi que

Si que es un plone lo que ocurre es que mi web TLeo ya viene de los tiempos 
de zope antes que existiera plone, así que es un index.htm en el zmi. Esa 
parte que es independiente de la maquinaria particular de plone es la que 
aun esta accesible, asi siguen funcionando los vinculos a pags html añadidas 
en zmi.
Estó quedó asi pues en principio solo he usado plone para lo relativo a 
usuarios, foro y alguna otra cosilla, conservando el diseño de la pag de 
entrada 100% manual.

>pareciera que te han tocado la configuracion de apache tambien, y
>ahora que lo pienso, si lograron acceso al servidor donde Zope esta
>corriendo, crear un usuario administrador de la ZMI es muy sencillo,
>con lo cual subir un script que genere todo ese contenido que se ve en
>los "undo" es muy sencillo.

Yo excluyo lo de que hayan tocado el apache o el zope. Aparte de por que los 
que lo gestionan creo que son de los profesionales mas relevantes  a nivel 
zope-plone Pylot-Systems.
Mi creencia es la que ya sugerí -en mi ignorancia y mi escasa capacitacion o 
conocimiento-:
1- Una hipotesis posible es la de la captura de la cookie: __ac y con ella.
2- Inyeccion de codigo.
Lo de la inyección porque no los veo generando 2000 usuarios a mano.

>Si este fue el metodo usado (lograr acceso al servidor y de ahi
>generar un usuario administrador en Zope), no hay version de Plone ni
>de Zope que te salve... te tenes que conseguir un servidor que se
>actualice mas regularmente o que disponga de mecanismos anti ataques.
>
>Bueno, no tengo nada mas que decirte, excepto mucha suerte con eso.
>
>Saludos,
>Franco

Gracias Franco. Haber en que queda todo. Agotaremos los recursos.

PD: A proposito, ya he renombrado el 1º tema a Ataque a Plone 2.1.
El que respecta a rehabilitar plone. ¿recuperar portal action? si pudiera 
reponer esta tuerca -diré, podeis reiros- quizás ya funcionara todo de 
nuevo. ¿será esto posible?. Supongo que lo elimine yo en mi nerviosismo o 
confiando en que bueno ya haré undo.
Fué todo rapido en el fragor del ataque. Pues insisto en que mi sospecha se 
reduce a que insertaron algun codigo que hacia usuarios, algo asi.
Un saludo.
Juan Gómez

>-- 
>"Own your own computer. Don't use Windows 7. <http://windows7sins.org>"
>--
>"I know not with what weapons World War III will be fought, but World
>War IV will be fought with sticks and stones." -- Albert Einstein
>--
>"No se vive celebrando victorias, sino superando derrotas." -- Ernesto
>"Che" Guevara
>--
>Linux User #456432
>---------

More information about the Usuarios-Plone mailing list