On Mon, Mar 12, 2007 at 06:12:40PM -0500, jose wilmar palacio lopez wrote: > El 6/03/07, Federico Alberto Sayd <fsayd@uncu.edu.ar> escribió: > >> ... proceso (pid 7399) ... q hace referencia a > >> una ruta q no existe, es decir, al ir a /usr/local , no veo la carpeta > >> apache > ... > ... el apache fue instalado desde los paquetes de la distribucion..nada a > mano. > > resulta que este proceso no se inicia con el demonio de apache... > > server1:/var/spool/cron/crontabs# cat www-data > # DO NOT EDIT THIS FILE - edit the master and reinstall. > # (cron.d installed on Sun Mar 11 22:28:54 2007) > # (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $) > * * * * * /var/tmp/ChuCu/y2kupdate >/dev/null 2>&1 > 0,10,20,30,40,50 * * * * /var/tmp/.psy/y2kupdate >/dev/null 2>&1 > > alguien agregó estas dos ultimas lineas en este archivo (chuchu y .psy > son un directorio y un archivo q me encontré entre otros en tmp). asi > pues q me dispuse a borrar dichas lineas, pero vaya sorpresa! vulven y > aparecen , al igual q los directorios en tmp. Je. Ese ataque ya me lo hicieron una vez, hace como un año. Si recuerdo bien, entraron vía algún script de PHP. Instalaron entradas en el crontab para reiniciar su proceso si lo mataba, *y sobreescribieron varios comandos de /bin y /sbin*. También, el proceso mismo se encargaba de estar reescribiendo el crontab. ¿Mi recomendación? Reinstala. Aquella vez entre yo y otro administrador (uno bueno, no como yo) más o menos logramos recuperar la máquina y evitar que el proceso misterioso se reiniciara. Pero no dejaron de paras "cosas raras" y después de un rato terminamos borrando todo y recuperando de respaldos. > drwx-wx--T 2 root crontab 4096 2007-03-11 22:28 crontabs > > alguien sabe q significa esa "T" en los permisos del directorio crontabs?? ¿Te fijas como el directorio tiene permisos de escritura para el grupo crontab? Eso significa que cualquier usuario que pertenezca a ese grupo, o que esté usando un programa con setgid a crontab puede escribir en el directorio. Sin la "t", eso significaría que cualquiera con ese acceso puede *borrar* un archivo que ya existiera ahí. La "t" lo evita, significa "solo el dueño de un archivo puede borrarlo, aún si por su grupo tiene permiso". > 2. drwxrwxrwt 4 root root 4096 2007-03-12 16:58 tmp > > es normal q la carpeta tmp tenga todos los permisos? Sí, es normal. El directorio /tmp está pensado para que todos los usuarios tengan un lugar donde poner archivos temporales. Si no tuviera todos los permisos, pues no serviría ese propósito. Lo que puedes hacer, ya que reinstales, es poner /tmp en su propia partición (o ponerlo en RAM, usando tmpfs) y montarlo con 'noexec'. Eso evita que se puedan poner scripts ejecutables en él, lo cual *quizá* hubiera detenido este ataque. > 3. www-data:x:33:33:www-data:/var/www:/bin/sh > > es normal q el usuario www-data tenga asignado ese shell. Sí.
Attachment:
signature.asc
Description: Digital signature