Re: [Sop.Tec.LinuxPPP] ¿Sistema comprometido?

To: <linux en pepe net mx>
Subject: Re: [Sop.Tec.LinuxPPP] ¿Sistema comprometido?
From: Cristian Othon Martinez Vera <cfuga en itam mx>
Date: Fri, 19 Jan 2001 19:06:48 -0600 (CST)
In-reply-to: <3A68A93E.98750C50@servidor.unam.mx>
Organization: Instituto Tecnologico Autonomo de Mexico
Reply-to: linux en pepe net mx
Sender: owner-linux en pepe net mx

On Fri, 19 Jan 2001, Roberto Osorio González wrote:

> Recien reviso los procesos levantados por mi sistema y me encontré lo
> siguiente:
> ...
> tail -f .l
> sh ./hackl.sh
> tail -f .w
> sh ./hackw.sh
> ./synscan 225.85 .heh eth0 t1 21
> [synscan <defunct>]
> ...
> sh ./lh.sh 212.184.21.66
> ./l 212.184.21.66 -t 0 -r oxbfff
>
> Los ... significan más procesos (que sí conozco)
> Alguien sabe qué onda?¿Cómo puedo arreglar esto?
> Según he estado rastreando llego a un subdirectorio /usr/src/.poop y en
> el encuentro una página que indica algo sobre Ramen Crew y leí que es un
> gusano inofensivo ¿?.
> ¿Cómo eliminar esto?

 1. Tu maquina ha sido crackeada con el Ramen Worm. Este gusano aprovecha
dos vulnerabilidades bien conocidas de RedHat: para la version 6.2
ataca wu-ftpd y rpc.statd; para la version 7.0 ataca LPRng. De hecho,
puedes ver que si visitas la pagina principal de tu servidor, ha sido
cambiado por un mensaje alusivo a la sopa Ramen (de ahi el nombre).

 2. Dicho gusano dista de ser "inofensivo". Puede explorar 150 000
direcciones de una red clase B en 8 minutos. Eso implica consumo de ancho
de banda y de recursos de las maquinas que se encuentran en tu red, o en
redes remotas.

 3. El hecho de que dicho gusano haya podido entrar a tu maquina implica
que NO has instalado NINGUNA actualizacion a tu maquina. El bug de wu-ftpd
utilizado por el ataque fue detectado el 22 de junio del 2000. El de
rpc.statd fue detectado el 16 de julio. El de LPRng (el primero que se
encontro de RedHat 7.0) fue detectado el 25 de septiembre. Asi que tienes
mas de 6 meses sin poner atencion a estos "pequeños" detalles que, ademas
de afectarte a ti, pueden causar lios a otros sistemas ajenos a TUS
problemas.

 4. Como beneficio indirecto, tu sistema ha sido protegido de nuevos
ataques contra las vulnerabilidades descritas. Sin embargo, la medicina,
como siempre, es amarga y engorrosa: respalda la informacion de tus
usuarios, guarda los datos importantes de tu configuracion y reinstala la
maquina, instalando todas las actualizaciones requeridas.

					Saludos
-- 
 (o- Cristian Othon Martinez Vera <cfuga en itam mx>  Pulchrum est paucorum
//\     http://eniac.rhon.itam.mx/~cfuga/          hominum.
v_/_

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://pepe.net.mx/reglas.html

Referencias:
- [Sop.Tec.LinuxPPP] ¿Sistema comprometido?
  - De: Roberto Osorio González

Previo por Fecha: Re: [Sop.Tec.LinuxPPP] ¿Sistema comprometido?
Siguiente por Fecha: Re: [Sop.Tec.LinuxPPP] ¿Sistema comprometido?
Previo por Hilo: Re: [Sop.Tec.LinuxPPP] ¿Sistema comprometido?
Siguiente por Hilo: Re: [Sop.Tec.LinuxPPP] No puedo navegar...

[Hilos de Discusión] [Fecha] [Tema] [Autor]