-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nelson wrote: > Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del > crimen contra un servidor que fue hackeado :-( Distribucion? Kernel?Firewall? Paquetes instalados? Servicios que corria?
> en primera instancia puedo creer que el ataque fue hecho via web ya que > la maquina en si.. no tiene contacto fisico alguno con el exterior a > escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en > chroot). Usuarios virtuales en chroot: podrias ampliarnos el concepto? Los paquetes instalados eran todos de repositorios oficiales? > el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web > bases de datos ssh y el equipo se colgo.. > > fue una gran sorpresa al darme cuenta que cuando inicie la makina en > modo rescate /var estaba vacio practicamente piendo en un rm > -rf /var :-(... por ende.. no tengo logs para buscar algun tipo de > atake.. pero buscando en /tmp encontre algo interezante un archivo > llamado _conex.pl_ > > cuyo contenido muestro aqui. > > [Codigo perl de una puerta trasera] Alguna referencia: http://www.experts-exchange.com/Security/Linux_Security/Q_21291502.html Lo que entiendo de alli es que mediante netcat se conecta al 9000...para explotar alguan vulnerabilidad. Lo que no me queda claro es si para acceder a tu host explotó esa vuln o lo hizo desde dentro...en tal caso...como entro? > y me dije que diablos !!!... > entonces.. me decidi a preguntar a la lista por si alguien mas o menos > entiende este script o podria decir como funciona.. para tomar > precauciones en la proxima reinstalacion del servidor. y asi protejer > mejor los servicios. y claro esta.. asi todos aprendemos un poquito > mas de seguridad que es tan importante. > Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un > informe claro y Tecnico de lo sucedido aqui. > > Atentamente > Nelson Lopez. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFCvBxykw12RhFuGy4RAhWsAJ4oVPdXzb/nDLVhs+twwV/+u19hZACggPc3 04Qp5nKs9XckcvIKIiAOEiI= =BCVH -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
