PDA

Visualizza la versione completa : Server bucato


gianiaz
08-02-2007, 11:48
Ciao ragazzi, su un server con fedora ho trovato all'interno della home di un utente una dir chiamata .sh e questi files:



total 1464
-rw-rw-r-- 1 503 503 11248 Nov 9 05:27 195.210.pscan.22
-rw-rw-r-- 1 503 503 2447 Nov 7 06:20 217.141.pscan.22
-rw-rw-r-- 1 503 503 0 Jul 15 2006 22.pscan.22
-rw-rw-r-- 1 503 503 31860 Nov 11 16:53 65.110.pscan.22
-rw-rw-r-- 1 503 503 5268 Nov 11 15:04 67.76.pscan.22
-rw-rw-r-- 1 503 503 1825 Nov 13 06:13 80.18.pscan.22
-rw-rw-r-- 1 503 503 47097 Nov 8 05:34 80.67.pscan.22
-rwxr-xr-x 1 503 503 218 Jul 15 2006 a
-rwxr-xr-x 1 503 503 1184 Feb 6 2006 a1
-rwxr-xr-x 1 503 503 215 Jan 11 2006 a2
-rwxr-xr-x 1 503 503 7213 Jan 11 2006 a4
-rwx------ 1 503 503 208 Jan 11 2006 a5
-rwxr-xr-x 1 503 503 130 Feb 6 2006 a6
-rw-r--r-- 1 503 503 22354 Dec 2 2004 common
-rwxr-xr-x 1 503 503 265 Nov 25 2004 gen-pass.sh
-rw-rw-r-- 1 503 503 22074 Oct 18 06:09 pass_file
-rw-r--r-- 1 503 503 190148 Mar 22 2006 pass_filees
-rwxr-xr-x 1 503 503 171740 Nov 13 06:27 pico
-rwx------ 1 503 503 25503 Nov 13 06:27 pscan2
-rw-r--r-- 1 503 503 201 Jan 11 2006 README
-rwxr-xr-x 1 503 503 8958 Jan 15 2006 sshf
-rwxr-xr-x 1 503 503 8973 Jan 15 2006 sshf0
-rwxr-xr-x 1 503 503 846832 Nov 13 06:14 ssh-scan
-rwxr-xr-x 1 503 503 4152 Mar 2 2006 start
-rwxr-xr-x 1 503 503 159 Jan 11 2006 test.sh
-rw-r--r-- 1 503 503 12102 Nov 13 05:51 vuln.txt

Guardando il contenuto dei file sembra che stiano usando questo server per tentare di fare l'accesso su N altri server.

La prima cosa che ho fatto eliminare l'utente che aveva questi files nella home, ma credo che non basti per potermi ritenere al sicuro.

Secondo voi posso fare qualcosa per monitorare la situazione o in questi casi la cosa migliore da fare sempre la formattazione?

E' possibile secondo voi fare un po' di reverse engineer e capire come hanno fatto ad entrare per non incorrere nuovamente nello stesso problema?

Grazie

billiejoex
15-02-2007, 11:53
Non che i file li ha messi l l'utente stesso?


E' possibile secondo voi fare un po' di reverse engineer e capire come hanno fatto ad entrare per non incorrere nuovamente nello stesso problema?
Ce ne sarebbe da dire...
Le prime cose che mi vengono in mente / che puoi fare:
- controlla i vari file di log (syslog in primis e tutti i file di log generati dai demoni affacciati a internet).
- controlla i processi che vengono lanciati allo startup (/etc/init.d/*).
- controlla lo stato delle porte. Verifica quali sono in stato listening e quale processo le ha lanciate (non ho linux sottomano al momento ma qualcosa come netstat -antup dovrebbe fare al caso tuo.
- controlla gli utenti (verifica che non vi siano utenti strani che non conosci o che cmq non hai creato tu).

stabi
15-02-2007, 15:49
forse ti sar di aiuto questa discussione
.. scusate il link ...
h..p://forums.serve rbeach.com/showthread.php?t=4888

blackpingus
18-02-2007, 22:45
se hai paura che ti abbiano bucato, non c' che una soluzione:
- spegni il server
- ti cloni il disco per un'esame postmortem
- formatti
- riformatti tanto per stare tranquilli
- reinstalli

nel mentre, puoi passare all'esame del server bucato

(se volevi una risposta pi semplice...: formatta e reinstalla ;) )

albgen
19-02-2007, 10:02
quello un software per trovare le pass root del sistema.
ha tentato di trovare la pass di root o di altri utenti
se hai un pass di root del tipo: Ab@e021 stai tranquillo che non riesce a trovare niente...
:ciauz:

Loading