El Mon, 21 Apr 2003 12:19:22 +0200 [EMAIL PROTECTED] escribió: |[EMAIL PROTECTED] >Hola a Todos! |[EMAIL PROTECTED] > |[EMAIL PROTECTED] >Tengo una woody con el ssh y una IP fija. |[EMAIL PROTECTED] > |[EMAIL PROTECTED] >El otro día para mi sorpresa me di cuenta que |alguien habia entrado por ssh y me habia cambiado la constraseña de |superusuario [EMAIL PROTECTED] > |[EMAIL PROTECTED] >Después me introdujo un troyano que se me |replica a varios ficheros de /bin /sbin /usr/bin y /usr/sbin. Ese |troyano no es detectado por el clamav. He vuelto a reinstalar los |ficheros, pero periodicamente se me vuelven a infectar, y no se |realmente como se me vuelve a activar. [EMAIL PROTECTED] > |[EMAIL PROTECTED] >He leido que hay algunas vulnerabilidades con |ssh protocolo 1, pero que pensaba que estaban resueltas. Mi sistema |está actualizado. [EMAIL PROTECTED] > |[EMAIL PROTECTED] >Ahora de momento, he desactivado el ssh, aunque |agradecería si alguien sabe si hay alguna vulnerabilidad conocida y |como evitarla.
Holas Fer... Te cuento algo: esto lo mandé hace algun tiempo... .............................. Te comento: Normalmente los rootkit atacan o troyan a los paquetes que vienen en estos rpms: procps net-tool fileutils sysklogd sysstat portmap ... y puede ser de que se me escape alguna. Y por desgracia... a veces atacan el pstree, por ej. si entran por el fallo que tienen algunos 'sshd'... como el del RH 7.0... Te lo digo porque he estado viendo en directo en mi máquina ( y a propósito) por dos errores que sabía que tenía, uno con el 'lpd' y otro con el 'sshd' que vienen en el RH 7.0 sin pachear, como hacen desde cero, como instalan donde y que hacen. Te digo que es una experiencia muy buena, diría genial. Lógico, tenés que tener una pc al dope, y para eso, como hice yo. Pero se aprende. Fijate si no tenés nuevos usuarios,, si no tenes cosas raras en el subdir 'games', si no tenés '...' en algunos directorios, etc... Investigá antes de borrar, vas a aprender mucho. Yo recuperé la máquina, borrando todas las cosas raras, primero (normalmente todas con la fecha de actualización de cuando se hizo el ataque) , desinstalando esos paquetes y volviendolos a instalar. OJO que vas a tener que trabajar con el 'chattr' ya que te los bloquean. A ese root no lo conozco, pero fijate que debe de haber info en la red... Espero que ayude un abrazo y EXITOS!!!! Rolfo.- PD: si es una máquina importante... después de mirar un poco... reintalá todo de cero... por las dudas. Hay chequeadores de rootkits... pero no se como andan... yo lo hice a mano. Claro sabía lo que habían hecho...jaja...LOS ESTABA MIRANDO!!! ........................................... Otra cosa: Es normal que los troyanos incorporados manden a una derección de correo xx, lo que sucede en tu máquina. Una forma de parar esto momentaneamente es cambiar el nombre del comando 'mail' por otro por ej. 'mmail' de manera que no salga nada de tu máquina. Es probable que ese error quede registrado en algún lado. Por ahí tendrás que activar alguna regla especial en el demonio de log, que desde ya esta troyano tambien. O sea es complejo... BUeno espero que te ayude en algo... Exitos. Rolfo.- --------------------------------------------------------------------- ======================================================================== = Rodolfo H. González - Pigüé (Bs.As.) ARG - Usuario Linux#= 140699 = = !!! Linux, Karate, Rock'nBlues, y Ford... Un solo corazón... !!! = ========================================================================