etr4gu escribió: > Buenas lista > tengo un firewall linux, es un clarkconnect (creo que deriva de fedora > o red hat), pero pregunto aqui, dado que es la lista mas completa que > encontre. > Este firewall andaba bien, y es facil de configurar, pero hace unos > dias me empiezan a llegar mas de 2000 mails iguales por dia del > servidor diciendo > > Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART) > De: Cron Daemon <[EMAIL PROTECTED]> > Para: [EMAIL PROTECTED] > Asunto: Cron <[EMAIL PROTECTED]> chown root /tmp/pwned; chmod 4755 > /tmp/pwned; rm -f /etc/cron.d/core > > chown: cannot access `/tmp/pwned': No such file or directory > chmod: cannot access `/tmp/pwned': No such file or directory > > Sera esto un DoS? buscando en google encontre un exploit > (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo > similar, pero el exploit es local, por lo que creia que me habian > vulnerado, entonces reinstale todo, pero el problema sigue. > > Alguien me puede guiar un poco por favor? > Como me protejo? realmente estoy vulnerado o es un ataque? > > mi sistema es > [EMAIL PROTECTED] ~]# uname -a > Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686 > i686 i386 GNU/Linux > > > Desde ya muchas gracias
Podes comenzar corriendo el chkrootkit y el rkhunter, ambos son escaneadores de rootkits, troyanos y vulnerabilidades, en ppio. Uno esta en www.chkrootkit.org y el otro buscalo en Google. Luego habria que ver, por favor contanos , ya que es verdad esta documentado como un "local root exploit". Suerte. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
