Me han entrado en el PC!

Archivado
Pos eso, que aún no sé cómo puñetas lo han hecho.
Creo que han aprovechado una vulnerabilidad en el
webmin, y me he encontrado un directorio de usuario
en el home, con algunos archivos y scripts:

omni (ejecutable), s4.sh, pscan2 (ejecutable), wu ...

Cómo pueden haber entrado? Por ssh? Dudo mucho
que hayan adivinado los passwords. Por HTML? Cómo?

Agradecería cualquier info sobre el tema.

Saludos
Tenias bien configuradas las iptables?
Revisa logs, puntos de montaje...
Lo ideal es que le quites la red y revises logs :)
Pues no lo sé! ein?

Es el servidor de un nuevo cliente. Yo estoy de programador,
y de sistemas pues no me entero de ná. El que se ocupaba de
la red tomó las de Villadiego y ahora están buscando a otro.

Cómo puedo saber si está bien configuradas las iptables?

Gracias y saludotes
si dispones de entorno gráfico, puedes usar firestarter como firewall mientras te haces con iptables, se configura en un momento y algo hará.
Probaré de bajar el firestarter ... pero aún no sé cómo se pueden
meter dentro sin conocer las claves! Tan fácil es?
Sólo tenía abierto el puerto 80 para la página web, el ftp en el 21
sin aceptar anónimos, el ssh en el 22 y el 10000 para el webmin.
Alguna pista?

Saludos
Cualquier bug de cualquier programa te la puede preparar... o alguna contraseña debil o a saber... (yo voto por webmin)
De todas maneras, si tienes acceso a ssh... webmin sobra (al menos para mi)
De iptables no controlo mucho, pero creo que no es lo importante.
¿ De que distro y version estamos hablando ?
Saludos!
Era una Slackware 10.0
El webmin ya estaba instalado y con el puerto 10000 abierto
en el router, para que el de sistemas pudiera controlarlo desde
su casa, pero era una versión vieja, creo que inferior a 1.1
A ver si es el mismo tio que se ha ido el que os ha entrado en la máquina...
e-Minguez escribió:De iptables no controlo mucho, pero creo que no es lo importante.

Saludos!

Las iptables no son el firewall de linux? Porque si no lo son estoy sin firewall :-(
J0han escribió:A ver si es el mismo tio que se ha ido el que os ha entrado en la máquina...


Eso mismo es lo primero que he pensado yo...
A ver si es el mismo tio que se ha ido el que os ha entrado en la máquina...


+1

Yo de ti seguía los consejos que te han dado, desconecta la red, revisa logs y el bash_history de ese usuario, aunque seguramente lo haya borrado.

También actualizaría el sistema, lo más probable es que se haya aprovechado de un fallo reciente en alguna aplicación común.

Saludos.
dark_hunter escribió:Las iptables no son el firewall de linux? Porque si no lo son estoy sin firewall :-(

Nadie ha dicho lo contrario :D
Pero un firewall de poco te sirve si ha entrado debido a un bug de, digamos, webmin.
No creo que sea el mismo trabajador que se ha ido,
ya que sí tengo el bash-history y no le haría falta
usar el pscan2 para saber qué puertos están abiertos
y qué circula por ellos, si él es el que lo montó todo!

Los dos ejecutables que he encontrado, parece que
hacen referencia a la vulnerabilidad del webmin, amén
de un archivo php que he encontrado también, y en cuyo
interior pone claramente que es un exploit para éste.

Gracias a todos
13 respuestas
Archivado
Volver a Software libre