Ayuda, me cambiaron la pass de root

Archivado
Buenas a todos, administro varios servidores debian, que hacen de servidor de archivos SAMBA, proxy (squid), DNS (bind9), etc... el problema es que en una de las sedes me han cambiado/borrado/corrompido la password de root, me he traido el Disco duro lo he montao en mi máquina y estoy viendo cosas...

en la carpeta root han aparecido varios archivos:
belea.tgz que al descomprimirlo ha creado una carpeta oculta
./scan
el contenido de la carpeta es el siguiente:

scan.log vuln.txt scan screen.zip start pass.txt pscan2 pscan2.c y varios más...

He visto que dentro de pass.txt hay un diccionario de passwords (en el que el mío no está)
dentro de vuln.txt hay varias líneas como esta cambiando usuario, grupo e ip:

root:root 208.0.208.250 | host did not resolve

Os suena este ataque? Sobre que vulnerabilidades se aplica?
Estoy bastante mosqueado porque no se si me han sacado la password, o si simplemente han aprovechado alguna vulnerabilidad para copiarme el "scaner" en el disco y conseguir corromperme el shadow y el passwrd (que curiosamente están modificados a fecha 25-1-09)

Gracias por la ayuda, estoy un poco liao.

salu2
ataque desde EEUU/boston http://ipmap.com/208.0.208.250

tiene pinta de ser un exploit de origen rumano ('belea' en rumano significa 'problema')

no estaria mal que sacases el .history para ver que hizo el hacker, si se le olvido borrarlo...

no obstante, creo que te habran reventado al samba. ¿estas usando passwords seguras en samba?

el pscan2.c es un scaner de puertos, asi que lo mas seguro es que una vez que estuviera dentro de tu intranet, usando una IP 'confiable', haya intentado saltar a otros PCs...
En primer lugar, gracias por tu interés.
He visto el .bash_history (no se si te refieres a esto...) y veo que lo ultimo que se hizo fue:
ls
cat vuln.txt
cat /proc/cpuinfo
screen
./a 60.45
...
...
...
uname -a
cd ssh
cst vuln.txt
cat vuln.txt
./a 66.46
...
..
...
...
./x

Donde los puntos suspensivos es ./a y diferentes números y
Donde "a" es un ejecutable que es "ssh bruteforce tool" (pscan2)


La verdad, lo que más me interesa es saber como coj@#@es ha conseguido escribir en /root/ teniendo en cuenta que estos servidores están en una red no accesible desde internet (son servidores en los colegios/institutos) y no se si algún chaval ha podido hacer algo desde la red local.

Gracias de nuevo.
Si no te han tocado el wtmp puedes ver con el comando "last" los ususarios que se han conectado asi te puedes dar una idea si un usuario dio el salto a root en el momento de la copia de los archivos. Alguien mas que tenga acceso al area fisica de los servidores? Quiza pudo ser como dices una vulnerabilidad en un paquete antiguo que tengas; por cierto que version del kernel usas?
¿Estais diciendo que ronda un virus en Linux? Joder, como estan los hackers... ¿Tiene prevencion?

Salu2!!!
analca3 escribió:¿Estais diciendo que ronda un virus en Linux? Joder, como estan los hackers... ¿Tiene prevencion?

Salu2!!!


No, un virus no...
5 respuestas
Archivado
Volver a Software libre