Julio Cardoso escreveu: > Provavelmente era algum bug php de file incusion, coisa mais facil de > hackiar, e esse kernel ja tem mais de > 7 exploits circulando exemplo de um deles > http://www.milw0rm.com/exploits/2013 > quem tem esse kernel em servidor web aconselho atualiza-lo pois vai ter > dor de cabeça tambem > e tambem fechar a brecha do file incusion que é um dos maiores > causadores de danos em servidores apache com php > Julio >
Não teve nada a ver com o Apache ou o PHP. O invasor conseguiu a senha de um desenvolvedor debian, por algum meio. Assim teve acesso a máquina. Usando um bug do kernel, relacionado ao cron e/ou /proc (se me lembro bem), ele gerou um core e teve acesso à conta de root. Ele modificou o binário ping, só que o pessoal da segurança passa um programa que testa a integridade do arquivo de sistemas: daí conseguiram localizar a modificação. Imediatamente pararam a máquina e após a localização da falha, reinstalaram do zero. > Rodrigo Tassinari de Oliveira escreveu: > Em 14-07-2006 16:09, hamacker escreveu: > >>>> o buraco é mais embaixo. >>>> se conseguiram corromper algum pacote modificado para o repositorio >>>> entao é provavel que muita gente já pegou-o. Confiemos que foi apenas o >>>> ping. >>>> >>>> > Não foi isso, corromperam o binário do ping que rodava na máquina, só > isso. Pelo que li esse servidor nem era servidor de pacotes .deb > > Rodrigo. > > >> -- Thadeu Penna Prof.Adjunto IV - Instituto de Física Universidade Federal Fluminense Linux User #50500 (counter.li.org) Debian GNU/Linux alpha-amd64-i386 -- ubuntu-br mailing list [email protected] www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
