El vie, 10-06-2005 a las 12:15 -0400, Nelson escribió: > en primera instancia puedo creer que el ataque fue hecho via web ya que > la maquina en si.. no tiene contacto fisico alguno con el exterior a > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en > chroot).
Lo más probable es que usaran alguna vulnerabilidad de alguna de tus aplicaciones web (con un software tan viejo como el que usas, sería muy fácil si no estaba parcheado). A partir de ahí puede ejecutar cualquier cosa, o bien con un SQLInjection o aprovechando otra entrada de texto no comprobada de un "form". Por ejemplo pudo haber usado wget o lynx para bajar el backdoor que adjuntas. y ejecutarlo. Te da igual el cortafuegos porque en todo momento está usando el puerto 80 que tienes que tener abierto para dar servicio web. Lo que puedes hacer para el futuro es capar el 80 de salida y los de ftp para que no puedan hacer lo que describo. Borar wget y lynx también es una buena idea. Así lo tengo yo salvo para la máquina de debian para el apt. Esto es válido si la máquina no se va a utilizar para navegar (en un servidor debe valer). El backdoor te abre una consola privilegiada en un puerto arbitrario, y a partir de ahí ya puede hacer lo que quiera (como borrar el /var). Quizá un cortafuegos con todo cerrado por defecto te hubiera salvado. El ataque no tiene mayor complicación, tiene la pinta de ser un script-kiddy (o como se escriba) no un cracker. Suerte para la próxima. -- faro arroba escomposlinux punto org http://antares.escomposlinux.org http://wiki.escomposlinux.org http://libertonia.escomposlinux.org Debian GNU/Linux - Usuario Linux #162541
signature.asc
Description: This is a digitally signed message part
