Re: [OT] ataque raro a linux

To: "Debian Users Spanish" <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] ataque raro a linux
From: etr4gu <etragu@gmail.com>
Date: Fri, 18 Aug 2006 10:22:09 -0300
Message-id: <[🔎] 8897d77d0608180622l2efae17cna72ab95bfe6006f3@mail.gmail.com>
In-reply-to: <[🔎] 44E4A4F5.3030609@yahoo.com.ar>
References: <[🔎] 8897d77d0608170506g3abfbee8qac0947fc56e44d57@mail.gmail.com> <[🔎] 44E4A4F5.3030609@yahoo.com.ar>

El 17/08/06, Alejandro Kurchis<alejandro_facultad@yahoo.com.ar> escribió:


etr4gu escribió:
> Buenas lista
> tengo un firewall linux, es un clarkconnect (creo que deriva de fedora
> o red hat), pero pregunto aqui, dado que es la lista mas completa que
> encontre.
> Este firewall andaba bien, y es facil de configurar, pero hace unos
> dias me empiezan a llegar mas de 2000 mails iguales por dia del
> servidor diciendo
>
> Fecha:       Thu, 17 Aug 2006 08:29:01 -0300 (ART)
> De:      Cron Daemon <root@pointclark.net>
> Para:      root@pointclark.net
> Asunto:      Cron <root@gw-st> chown root /tmp/pwned; chmod 4755
> /tmp/pwned; rm -f /etc/cron.d/core
>
> chown: cannot access `/tmp/pwned': No such file or directory
> chmod: cannot access `/tmp/pwned': No such file or directory
>
> Sera esto un DoS? buscando en google encontre un exploit
> (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo
> similar, pero el exploit es local, por lo que creia que me habian
> vulnerado, entonces reinstale todo, pero el problema sigue.
>
> Alguien me puede guiar un poco por favor?
> Como me protejo? realmente estoy vulnerado o es un ataque?
>
> mi sistema es
> [root@gw-ipsst ~]# uname -a
> Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686
> i686 i386 GNU/Linux
>
>
> Desde ya muchas gracias

Podes comenzar corriendo el chkrootkit y el rkhunter, ambos son
escaneadores de rootkits, troyanos y vulnerabilidades, en ppio. Uno esta
en www.chkrootkit.org y el otro buscalo en Google.

Luego habria que ver, por favor contanos , ya que es verdad esta
documentado como un "local root exploit". Suerte.


Bueno, paso a contarte
Al parecer mi co-administrador creo un usuario para el y despues lo
borro, y por ahi vino el ataque, encontre el exploit del que hablamos
en /usr/share/fonts con el nombre ypall-4 con UID 501, cuando el
ultimo usuario creado tienen UID 500, por lo que entiendo que fue con
el usuario creado temporalmente. en el mismo directorio estaba un
ejecutable un SUID, y se llamaba ypall.
Ademas editando los core, alcance a ver el mail del creador del exploit.
Ya se que me vulneraron, pero todavia no se como, ahora voy a
reinstalar todo y voy a tomar las recomendaciones de debian-harden
para clarkconnect, hasta que me anime a hacer un firewall completo en
debian.

Gracias a todos.



--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

References:
- [OT] ataque raro a linux
  - From: etr4gu <etragu@gmail.com>
- Re: [OT] ataque raro a linux
  - From: Alejandro Kurchis <alejandro_facultad@yahoo.com.ar>

Prev by Date: Re: Exim4 y mailq
Next by Date: [OT] apache-ssl en etch no rula
Previous by thread: Re: [OT] ataque raro a linux
Next by thread: Re: [OT] ataque raro a linux
Index(es):
- Date
- Thread