[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[escepticos] Virus para linux

To: "escepticos en ccdis.dis.ulpgc.es" <escepticos en ccdis.dis.ulpgc.es>
Subject: [escepticos] Virus para linux
From: Eloy Anguiano <Eloy.Anguiano@...>
Date: Mon, 22 Jan 2001 16:30:01 +0100
Reply-to: escepticos en ccdis.dis.ulpgc.es
Sender: owner-escepticos en dis.ulpgc.es

Desde el viernes, hay un gusano en internet que ataca a los linux redhat
6.2 y 7.0 con 3 conocidas vulnerabilidades (rpc.statd y wu-ftpd en 6.2 y
LPDng en 7.0)

Este gusano lo que hace es buscar maquinas con estas vulnerabilidades y
explotarlas. Una vez dentro comienza a scanear maquinas al hazar y luego
cambia los fichero index.html por una pagina que dice 

                  Hackers looooooooooooooooove noodles.?
 
Tambien montan una especie de pequeño servidor www en el puerto 27374
desde donde las maquinas que hayan sido infectadas se bajan el gusano
comenzando otra vez todo el proceso. Si te conectas por telnet a ese
puerto y escribes "GET" te manda el gusano.




Esto es lo que deberias hacer para desinfectar:
 
* Borrar el directorio /usr/src/.poop
* Si tu sistema tiene /etc/inetd.conf tienes que buscar una linea con el
texto /sbin/asp borra la linea y relanza el inetd.
* Buscar en /etc/rc.d/rc.sysinit un pequeño script al final que es el
comienza el scaneo.
* Quitar el usuario ftp y anonymous del fichero /etc/ftpusers
* El gusano borra /sbin/rpc.statd y /usr/sbin/rpc.statd
* Tambien borra (segun el sistema) /usr/sbin/lpd
* Restaurar el fichero /etc/hosts.deny puesto que el gusano lo borra.
* Borra el gusano de /tmp/ramen.tgz
* Reinicia la maquina.

Saludos a los linuxeros

Prev by Date: [escepticos] Fw: Censura en TeleMadrid
Next by Date: RE: [escepticos] Dios y el Far West
Previous by thread: [escepticos] Fw: Censura en TeleMadrid
Next by thread: [escepticos] Programa astronomía en Español
Index(es):
- Date
- Thread