Ciao ragazzi, su un server con fedora ho trovato all'interno della home di un utente una dir chiamata .sh e questi files:
Guardando il contenuto dei file sembra che stiano usando questo server per tentare di fare l'accesso su N altri server.codice:total 1464 -rw-rw-r-- 1 503 503 11248 Nov 9 05:27 195.210.pscan.22 -rw-rw-r-- 1 503 503 2447 Nov 7 06:20 217.141.pscan.22 -rw-rw-r-- 1 503 503 0 Jul 15 2006 22.pscan.22 -rw-rw-r-- 1 503 503 31860 Nov 11 16:53 65.110.pscan.22 -rw-rw-r-- 1 503 503 5268 Nov 11 15:04 67.76.pscan.22 -rw-rw-r-- 1 503 503 1825 Nov 13 06:13 80.18.pscan.22 -rw-rw-r-- 1 503 503 47097 Nov 8 05:34 80.67.pscan.22 -rwxr-xr-x 1 503 503 218 Jul 15 2006 a -rwxr-xr-x 1 503 503 1184 Feb 6 2006 a1 -rwxr-xr-x 1 503 503 215 Jan 11 2006 a2 -rwxr-xr-x 1 503 503 7213 Jan 11 2006 a4 -rwx------ 1 503 503 208 Jan 11 2006 a5 -rwxr-xr-x 1 503 503 130 Feb 6 2006 a6 -rw-r--r-- 1 503 503 22354 Dec 2 2004 common -rwxr-xr-x 1 503 503 265 Nov 25 2004 gen-pass.sh -rw-rw-r-- 1 503 503 22074 Oct 18 06:09 pass_file -rw-r--r-- 1 503 503 190148 Mar 22 2006 pass_filees -rwxr-xr-x 1 503 503 171740 Nov 13 06:27 pico -rwx------ 1 503 503 25503 Nov 13 06:27 pscan2 -rw-r--r-- 1 503 503 201 Jan 11 2006 README -rwxr-xr-x 1 503 503 8958 Jan 15 2006 sshf -rwxr-xr-x 1 503 503 8973 Jan 15 2006 sshf0 -rwxr-xr-x 1 503 503 846832 Nov 13 06:14 ssh-scan -rwxr-xr-x 1 503 503 4152 Mar 2 2006 start -rwxr-xr-x 1 503 503 159 Jan 11 2006 test.sh -rw-r--r-- 1 503 503 12102 Nov 13 05:51 vuln.txt
La prima cosa che ho fatto è eliminare l'utente che aveva questi files nella home, ma credo che non basti per potermi ritenere al sicuro.
Secondo voi posso fare qualcosa per monitorare la situazione o in questi casi la cosa migliore da fare è sempre la formattazione?
E' possibile secondo voi fare un po' di reverse engineer e capire come hanno fatto ad entrare per non incorrere nuovamente nello stesso problema?
Grazie
Rispondi quotando