El Mon, 21 Apr 2003 12:19:22 +0200
[EMAIL PROTECTED] escribi�:
|[EMAIL PROTECTED] >Hola a Todos!
|[EMAIL PROTECTED] >
|[EMAIL PROTECTED] >Tengo una woody con el ssh y una IP fija.
|[EMAIL PROTECTED] >
|[EMAIL PROTECTED] >El otro d�a para mi sorpresa me di cuenta que
|alguien habia entrado por ssh y me habia cambiado la constrase�a de
|superusuario [EMAIL PROTECTED] >
|[EMAIL PROTECTED] >Despu�s me introdujo un troyano que se me
|replica a varios ficheros de /bin /sbin /usr/bin y /usr/sbin. Ese
|troyano no es detectado por el clamav. He vuelto a reinstalar los
|ficheros, pero periodicamente se me vuelven a infectar, y no se
|realmente como se me vuelve a activar. [EMAIL PROTECTED] >
|[EMAIL PROTECTED] >He leido que hay algunas vulnerabilidades con
|ssh protocolo 1, pero que pensaba que estaban resueltas. Mi sistema
|est� actualizado. [EMAIL PROTECTED] >
|[EMAIL PROTECTED] >Ahora de momento, he desactivado el ssh, aunque
|agradecer�a si alguien sabe si hay alguna vulnerabilidad conocida y
|como evitarla.
Holas Fer...
Te cuento algo: esto lo mand� hace algun tiempo...
..............................
Te comento:
Normalmente los rootkit atacan o troyan a los paquetes que vienen en
estos rpms:
procps
net-tool
fileutils
sysklogd
sysstat
portmap
... y puede ser de que se me escape alguna.
Y por desgracia... a veces atacan el pstree, por ej. si entran por el
fallo que tienen algunos 'sshd'... como el del RH 7.0...
Te lo digo porque he estado viendo en directo en mi m�quina ( y a
prop�sito) por dos errores que sab�a que ten�a, uno con el 'lpd' y otro
con el 'sshd' que vienen en el RH 7.0 sin pachear, como hacen desde
cero, como instalan donde y que hacen. Te digo que es una experiencia
muy buena, dir�a genial. L�gico, ten�s que tener una pc al dope, y para
eso, como hice yo. Pero se aprende.
Fijate si no ten�s nuevos usuarios,, si no tenes cosas raras en el
subdir 'games', si no ten�s '...' en algunos directorios, etc...
Investig� antes de borrar, vas a aprender mucho.
Yo recuper� la m�quina, borrando todas las cosas raras, primero
(normalmente todas con la fecha de actualizaci�n de cuando se hizo el
ataque) , desinstalando esos paquetes y volviendolos a instalar. OJO que
vas a tener que trabajar con el 'chattr' ya que te los bloquean.
A ese root no lo conozco, pero fijate que debe de haber info en la
red...
Espero que ayude un abrazo y EXITOS!!!!
Rolfo.-
PD: si es una m�quina importante... despu�s de mirar un poco... reintal�
todo de cero... por las dudas.
Hay chequeadores de rootkits... pero no se como andan... yo lo hice a
mano. Claro sab�a lo que hab�an hecho...jaja...LOS ESTABA MIRANDO!!!
...........................................
Otra cosa:
Es normal que los troyanos incorporados manden a una derecci�n de correo
xx, lo que sucede en tu m�quina. Una forma de parar esto momentaneamente
es cambiar el nombre del comando 'mail' por otro por ej. 'mmail' de
manera que no salga nada de tu m�quina. Es probable que ese error quede
registrado en alg�n lado. Por ah� tendr�s que activar alguna regla
especial en el demonio de log, que desde ya esta troyano tambien. O sea
es complejo...
BUeno espero que te ayude en algo...
Exitos.
Rolfo.-
---------------------------------------------------------------------
========================================================================
= Rodolfo H. Gonz�lez - Pig�� (Bs.As.) ARG - Usuario Linux#= 140699 =
= !!! Linux, Karate, Rock'nBlues, y Ford... Un solo coraz�n... !!! =
========================================================================
