Re: [OT] ataque raro a linux
etr4gu escribió:
> Buenas lista
> tengo un firewall linux, es un clarkconnect (creo que deriva de fedora
> o red hat), pero pregunto aqui, dado que es la lista mas completa que
> encontre.
> Este firewall andaba bien, y es facil de configurar, pero hace unos
> dias me empiezan a llegar mas de 2000 mails iguales por dia del
> servidor diciendo
>
> Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART)
> De: Cron Daemon <root@pointclark.net>
> Para: root@pointclark.net
> Asunto: Cron <root@gw-st> chown root /tmp/pwned; chmod 4755
> /tmp/pwned; rm -f /etc/cron.d/core
>
> chown: cannot access `/tmp/pwned': No such file or directory
> chmod: cannot access `/tmp/pwned': No such file or directory
>
> Sera esto un DoS? buscando en google encontre un exploit
> (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo
> similar, pero el exploit es local, por lo que creia que me habian
> vulnerado, entonces reinstale todo, pero el problema sigue.
>
> Alguien me puede guiar un poco por favor?
> Como me protejo? realmente estoy vulnerado o es un ataque?
>
> mi sistema es
> [root@gw-ipsst ~]# uname -a
> Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686
> i686 i386 GNU/Linux
>
>
> Desde ya muchas gracias
Podes comenzar corriendo el chkrootkit y el rkhunter, ambos son
escaneadores de rootkits, troyanos y vulnerabilidades, en ppio. Uno esta
en www.chkrootkit.org y el otro buscalo en Google.
Luego habria que ver, por favor contanos , ya que es verdad esta
documentado como un "local root exploit". Suerte.
Reply to: