[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Xploit grave en ssh :-?

El Mon, 21 Apr 2003 12:19:22 +0200
fgr@sirenishotels.com escribió:

|fgr@sirenishotels.com >Hola a Todos!
|fgr@sirenishotels.com >
|fgr@sirenishotels.com >Tengo una woody con el ssh y una IP fija.
|fgr@sirenishotels.com >
|fgr@sirenishotels.com >El otro día para mi sorpresa me di cuenta que
|alguien habia entrado por ssh y me habia cambiado la constraseña de
|superusuario fgr@sirenishotels.com >
|fgr@sirenishotels.com >Después me introdujo un troyano que se me
|replica a varios ficheros de /bin /sbin /usr/bin y /usr/sbin. Ese
|troyano no es detectado por el clamav. He vuelto a reinstalar los
|ficheros, pero periodicamente se me vuelven a infectar, y no se
|realmente como se me vuelve a activar. fgr@sirenishotels.com >
|fgr@sirenishotels.com >He leido que hay algunas vulnerabilidades con
|ssh protocolo 1, pero que pensaba que estaban resueltas. Mi sistema
|está actualizado. fgr@sirenishotels.com >
|fgr@sirenishotels.com >Ahora de momento, he desactivado el ssh, aunque
|agradecería si alguien sabe si hay alguna vulnerabilidad conocida y
|como evitarla.

Holas Fer...

Te cuento algo: esto lo mandé hace algun tiempo...
..............................

Te comento:

Normalmente los rootkit atacan o troyan a los paquetes que vienen en
estos rpms:
	procps
	net-tool
	fileutils
	sysklogd
	sysstat
	portmap

... y puede ser de que se me escape alguna.
Y por desgracia... a veces atacan el pstree, por ej. si entran por el
fallo que tienen algunos 'sshd'... como el del RH 7.0...
Te lo digo porque he estado viendo en directo en mi máquina ( y a
propósito) por dos errores que sabía que tenía, uno con el 'lpd' y otro
con el 'sshd' que vienen en el RH 7.0 sin pachear, como hacen desde
cero, como instalan donde y que hacen. Te digo que es una experiencia
muy buena, diría genial. Lógico, tenés que tener una pc al dope, y para
eso, como hice yo. Pero se aprende.

Fijate si no tenés nuevos usuarios,, si no tenes cosas raras en el
subdir 'games', si no tenés '...' en algunos directorios, etc...
Investigá antes de borrar, vas a aprender mucho.
Yo recuperé la máquina, borrando todas las cosas raras, primero
(normalmente todas con la fecha de actualización de cuando se hizo el
ataque) , desinstalando esos paquetes y volviendolos a instalar. OJO que
vas a tener que trabajar con el 'chattr' ya que te los bloquean. 
A ese root no lo conozco, pero fijate que debe de haber info en la
red...

Espero que ayude un abrazo y EXITOS!!!!

Rolfo.-

PD: si es una máquina importante... después de mirar un poco... reintalá
todo de cero... por las dudas.
Hay chequeadores de rootkits... pero no se como andan... yo lo hice a
mano. Claro sabía lo que habían hecho...jaja...LOS ESTABA MIRANDO!!!
...........................................

Otra cosa:
Es normal que los troyanos incorporados manden a una derección de correo
xx, lo que sucede en tu máquina. Una forma de parar esto momentaneamente
es cambiar el nombre del comando 'mail' por otro por ej. 'mmail' de
manera que no salga nada de tu máquina. Es probable que ese error quede
registrado en algún lado. Por ahí tendrás que activar alguna regla
especial en el demonio de log, que desde ya esta troyano tambien. O sea
es complejo...

BUeno espero que te ayude en algo...
Exitos. 
Rolfo.-


---------------------------------------------------------------------
========================================================================
=  Rodolfo H. González - Pigüé (Bs.As.) ARG - Usuario Linux#=  140699  =
=   !!! Linux, Karate, Rock'nBlues, y Ford... Un solo corazón... !!!   =
========================================================================
Reply to: