Rootkit-2.
Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando
caminos por los cuales han podido entrar.
A ver... NO se trata de una empresa especializada en servicios de
internet luego el daño no sería una gran perdida.Se trata de una empresa
de programación e informatica en general,tengo mis trabajos en php,
java, etc..(los cuales hago backup de vez encuando) el ordenador
infectado lo tengo con salida a internet mediante un router, el cual
esta configurado en multipuesto, y que a su misma vez tengo creadas
varias politicas nat hacia varios puertos de mi máquina, luego el camino
se estrecha un poco como quien dice.
Por suerte acabo de revisar que el password del router está intacto, y
la configuración sigue siendo la misma, ya que me ha dado por pensar que
podría tener un sniffer también por ahí suelto, aunque creo que nunca lo
voy saber realmente.
Lamentablemente los puertos que tengo puestos son:
80/tcp open http
22/tpc open ssh
21/tpc open ftp
1000/tcp open webmin
5900/tcp open vnc
No podían ser otros servicios :-)
nmap -A localhost
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44
CET
Interesting ports on localhost (127.0.0.1):
Not shown: 1672 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0)
80/tcp open http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8
+etch13)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO)
631/tcp open ipp CUPS 1.2
3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log
5900/tcp open vnc VNC (protocol 3.7)
10000/tcp open http Webmin httpd
¿Me podeis indicar donde puedo checkear los bug de estas versiones?
Salu2.
Reply to: