Re: Xploit grave en ssh :-?
No te puedo decir exactamente que fue ni como arreglarlo.. Pero a un camarade
le paso exactamente lo mismo, pero con una maquina de RH, hace ya unos
meses... La vulnerabilidad fue una que salio ya hace buen tiempo en OpenSSL,
y pues se le paso parcharla entonces por un tiempo... Ya hace varios meses de
eso... Yo pensaria que fue mas o menos tu caso... Fuera de esas
vulnerabilidades no he sabido de otras serias... A menos que te esten
explotando una nueva, pero lo dudaria mucho...
Recuerdo que en el /tmp habia en su maquina una serie de scripts que fueron
usados para ganar acceso y crear los caballitos... De hecho, creo fue
descubierto un caballito en el OpenSSL (de netbsd), pero no se si alguna vez
este estuvo en debian, o si acaso lo instalaste tu de codigo...
En fin... quizas viendo esos scripts puedas saber que fue... La maquina de mi
amigo fue reinstalada.
Salu2
On Monday 21 April 2003 05:19, fgr@sirenishotels.com wrote:
> Hola a Todos!
>
> Tengo una woody con el ssh y una IP fija.
>
> El otro día para mi sorpresa me di cuenta que alguien habia entrado por ssh
> y me habia cambiado la constraseña de superusuario
>
> Después me introdujo un troyano que se me replica a varios ficheros de /bin
> /sbin /usr/bin y /usr/sbin. Ese troyano no es detectado por el clamav. He
> vuelto a reinstalar los ficheros, pero periodicamente se me vuelven a
> infectar, y no se realmente como se me vuelve a activar.
>
> He leido que hay algunas vulnerabilidades con ssh protocolo 1, pero que
> pensaba que estaban resueltas. Mi sistema está actualizado.
>
> Ahora de momento, he desactivado el ssh, aunque agradecería si alguien sabe
> si hay alguna vulnerabilidad conocida y como evitarla.
>
> Gracias y saludos.
>
>
> Fernando
Reply to: