Re: [OT] ataque raro a linux
2006/8/17, Jesus Aneiros <jesus.aneiros@gmail.com>:
On 8/17/06, etr4gu <etragu@gmail.com> wrote:
> Buenas lista
> tengo un firewall linux, es un clarkconnect (creo que deriva de fedora
> o red hat), pero pregunto aqui, dado que es la lista mas completa que
> encontre.
> Este firewall andaba bien, y es facil de configurar, pero hace unos
> dias me empiezan a llegar mas de 2000 mails iguales por dia del
> servidor diciendo
>
> Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART)
> De: Cron Daemon <root@pointclark.net>
> Para: root@pointclark.net
> Asunto: Cron <root@gw-st> chown root /tmp/pwned; chmod 4755
> /tmp/pwned; rm -f /etc/cron.d/core
>
> chown: cannot access `/tmp/pwned': No such file or directory
> chmod: cannot access `/tmp/pwned': No such file or directory
>
> Sera esto un DoS? buscando en google encontre un exploit
> (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo
> similar, pero el exploit es local, por lo que creia que me habian
Pero es que el mensaje que estás recibiendo es del cron local de
gw-st. Así que creo que tienes un problema!
> vulnerado, entonces reinstale todo, pero el problema sigue.
Revisaste las tareas del cron? Parece ser una tarea que está tratando
de dar permisos de ejecución a /tmp/pwned pero no existe. Si te fijas
después se trata de eliminar un core que es casi siempre lo que deja
un exploit, en el directorio /etc/cron.d/core. Creo que utilizaron o
trataron de utilizar como vector de ataque al cron.
Exacto, revise las tareas del cron, pero no encontre ninguna tarea
rara, si encontre 3 archivos core.(un numero) pero no se como
analizarlos.
Disculpa si me equivoco y te alarmo, no soy especialista en seguridad
informática. Es lo que veo del pedacito del subject que copiaste en el
mensaje.
Mas vale prevenir que curar, muchas gracias
Saludos, --aneiros.
--
"La educación comienza en la cuna y termina en la tumba"
José de la Luz y Caballero
Reply to: