Re: Rootkit-2.

To: debian-user-spanish@lists.debian.org
Subject: Re: Rootkit-2.
From: consultores1 <consultores1@gmail.com>
Date: Mon, 09 Feb 2009 12:40:32 -0800
Message-id: <[🔎] 1234212032.4624.23.camel@debian.MiRed>
In-reply-to: <[🔎] 1234198779.9312.75.camel@pcalero.homedns.org>
References: <[🔎] 1234198779.9312.75.camel@pcalero.homedns.org>

El lun, 09-02-2009 a las 17:59 +0100, Francisco Calero escribió:
> 	Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando
> caminos por los cuales han podido entrar.
> 
> 	A ver... NO se trata de una empresa especializada en servicios de
> internet luego el daño no sería una gran perdida.Se trata de una empresa
> de programación e informatica en general,tengo mis trabajos en php,
> java, etc..(los cuales hago backup de vez encuando) el ordenador
> infectado lo tengo con salida a internet mediante un router, el cual
> esta configurado en multipuesto, y que a su misma vez tengo creadas
> varias politicas nat hacia varios puertos de mi máquina, luego el camino
> se estrecha un poco como quien dice.
> 
> 	Por suerte acabo de revisar que el password del router está intacto, y
> la configuración sigue siendo la misma, ya que me ha dado por pensar que
> podría tener un sniffer también por ahí suelto, aunque creo que nunca lo
> voy saber realmente.
> 
> Lamentablemente los puertos que tengo puestos son:
> 
> 80/tcp    open  http
> 22/tpc	  open  ssh 
> 21/tpc	  open  ftp 
> 1000/tcp  open  webmin
> 5900/tcp  open  vnc
> 
> No podían ser otros servicios :-)
> 
> nmap -A localhost
> 
> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44
> CET
> Interesting ports on localhost (127.0.0.1):
> Not shown: 1672 closed ports
> PORT      STATE SERVICE     VERSION
> 22/tcp    open  ssh         OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0)
> 80/tcp    open  http        Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8
> +etch13)
> 139/tcp   open  netbios-ssn Samba smbd 3.X (workgroup: TRABAJO)
> 445/tcp   open  netbios-ssn Samba smbd 3.X (workgroup: TRABAJO)
> 631/tcp   open  ipp         CUPS 1.2
> 3306/tcp  open  mysql       MySQL 5.0.32-Debian_7etch8-log
> 5900/tcp  open  vnc         VNC (protocol 3.7)
> 10000/tcp open  http        Webmin httpd
> 
> 
> ¿Me podeis indicar donde puedo checkear los bug de estas versiones?
> 

Te sugiero, que si vas a hacer una autopsia, primero te organices por
areas; descubrieron tu clave; como viaja la clave, usas ssh, como?
entras como root o usuario?.

Que servicios tienes, veo que usas Samba, tienes la misma clave para
root y Samba? 

Que tan segura es tu clave, usa el paquete John the Ripper, para
probarla.

Podrias hacer varias copias de tu DD, como te sugirieron y enviar 1 al
equipo de seguridad, si es que se determina que se trata de alguna
vulnerabilidad. En fin, deberias tomartela mas calmado y a su vez
ordenar y escribir todo.

hasta pronto.

Reply to:

References:
- Rootkit-2.
  - From: Francisco Calero <pcm@inproda.es>

Prev by Date: Re: sobre vsftpd
Next by Date: Re: sobre vsftpd [TERMINADO]
Previous by thread: Re: Rootkit-2.
Next by thread: sobre el congelado de lenny
Index(es):
- Date
- Thread