SEMI OFF-TOPIC
Jorge Severino
jorge en netsecure.cl
Mar Nov 5 12:31:53 CLST 2002
Hola:
el viernes instale un redhat 7.2 pa poner un relay antivirus...todo bien,
llege ayer lunes.
Me puse a revisarlo....y paffff sopresa...comienzo a ver mucho trafico
saliente y entrante...me dije que onda....fui a revisar el /tmp y paffff
otra sorpresa....habian cosas que yo no habia puesto ahi....onda programas y
archivos....
me puse a revisar estos programas y uno era pbsync que es un servidor IRC y
estaba en LISTEN y escuchando el perla...
me fije que los archivos de logs no fueron eliminados asi que los saque
fuera de ahi a un entorno mas seguro (bsd) para su posterior analisis....
Me cuestione y me dije por donde @#|@~#@~@ entraron ?
> me puse a revisar los servicios...
> lo unico corriendo es smtp, y apache.
> sin ningun inet (ftp, portmap, rpc, ni nada de eso)
> el relay SMTP de TrendMicro...no creo
> el puerto de administracion del trendMicro ? no creo.
> AJA....el APACHE...ahi esta el queso...
> me puse a buscar en el CERT y claro....en el temp tenia un archivo que se
llamaba .cinik
> y es un worm que ataca sistemas linux al mod_ssl....
parche la wea del SSL, y le puse otra tarjeta de red para colocarla en modo
promiscuo y sniffear intentos...
y cache que eran lokos de austria...pero no puedo hacer nada mas que
bloquear sus IPs....
ASi que en eso me entretube ayer...
lo que pude rescatar como experiencia es que son puros lammers, ya que no se
preocupan de borrar logs ni huellas....
asi que actualize el kernel y el apache y lo deje y hasta ahora ni un
drama....
ademas estoy cortando sus conexiones con TCP resets desde el OpenbSD..(Lo
amo)...
http://www.cert.org/advisories/CA-2002-27.html
jorge...