Re: Xploit grave en ssh :-?

To: debian-user-spanish@lists.debian.org
Subject: Re: Xploit grave en ssh :-?
From: fgr@sirenishotels.com
Date: Mon, 21 Apr 2003 18:13:40 +0200
Message-id: <[🔎] 20030421181340.2a626571.fgr@sirenishotels.com>
In-reply-to: <[🔎] 200304210955.20771.awallace@rwsoft-online.com>
References: <[🔎] 20030421121922.3d811bfa.fgr@sirenishotels.com> <[🔎] 200304210955.20771.awallace@rwsoft-online.com>

Apreciado Alexander,

Muchisimas gracias por tu ayuda.

Efectivamente... Los script estan en /tmp, con algo que me ha llenado de miedo... Un Ocultador de ficheros...

Voy a ver si consigo alguna manera de detectarlos.

Gracias nuevamente...  Y tened cuidado ahí fuera.

Fernando


El Mon, 21 Apr 2003 09:55:20 -0500
escribió:

> No te puedo decir exactamente que fue ni como arreglarlo.. Pero  a un camarade 
> le paso exactamente lo mismo, pero con una maquina de RH, hace ya unos 
> meses...  La vulnerabilidad fue una que salio ya hace buen tiempo en OpenSSL, 
> y pues se le paso parcharla entonces por un tiempo... Ya hace varios meses de 
> eso... Yo pensaria que fue mas o menos tu caso... Fuera de esas 
> vulnerabilidades no he sabido de otras serias... A menos que te esten 
> explotando una nueva, pero lo dudaria mucho...
> 
> Recuerdo que en el /tmp habia en su maquina una serie de scripts que fueron 
> usados para ganar acceso y crear los caballitos... De hecho, creo fue 
> descubierto un caballito en el OpenSSL (de netbsd), pero no se si alguna vez 
> este estuvo en debian, o si acaso lo instalaste tu de codigo...
> 
> En fin... quizas viendo esos scripts puedas saber que fue... La maquina de mi 
> amigo fue reinstalada.
> 
> Salu2
> 
> 
> On Monday 21 April 2003 05:19, fgr@sirenishotels.com wrote:
> > Hola a Todos!
> >
> > Tengo una woody con el ssh y una IP fija.
> >
> > El otro día para mi sorpresa me di cuenta que alguien habia entrado por ssh
> > y me habia cambiado la constraseña de superusuario
> >
> > Después me introdujo un troyano que se me replica a varios ficheros de /bin
> > /sbin /usr/bin y /usr/sbin. Ese troyano no es detectado por el clamav. He
> > vuelto a reinstalar los ficheros, pero periodicamente se me vuelven a
> > infectar, y no se realmente como se me vuelve a activar.
> >
> > He leido que hay algunas vulnerabilidades con ssh protocolo 1, pero que
> > pensaba que estaban resueltas. Mi sistema está actualizado.
> >
> > Ahora de momento, he desactivado el ssh, aunque agradecería si alguien sabe
> > si hay alguna vulnerabilidad conocida y como evitarla.
> >
> > Gracias y saludos.
> >
> >
> > Fernando
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

Reply to:

References:
- Xploit grave en ssh :-?
  - From: fgr@sirenishotels.com
- Re: Xploit grave en ssh :-?
  - From: Alexander Wallace <awallace@rwsoft-online.com>

Prev by Date: sobre sonido
Next by Date: Re: aplicaciones para la seguridad..
Previous by thread: Re: Xploit grave en ssh :-?
Next by thread: Re: Xploit grave en ssh :-?
Index(es):
- Date
- Thread