[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[escepticos] Virus para linux
Desde el viernes, hay un gusano en internet que ataca a los linux redhat
6.2 y 7.0 con 3 conocidas vulnerabilidades (rpc.statd y wu-ftpd en 6.2 y
LPDng en 7.0)
Este gusano lo que hace es buscar maquinas con estas vulnerabilidades y
explotarlas. Una vez dentro comienza a scanear maquinas al hazar y luego
cambia los fichero index.html por una pagina que dice
Hackers looooooooooooooooove noodles.?
Tambien montan una especie de pequeño servidor www en el puerto 27374
desde donde las maquinas que hayan sido infectadas se bajan el gusano
comenzando otra vez todo el proceso. Si te conectas por telnet a ese
puerto y escribes "GET" te manda el gusano.
Esto es lo que deberias hacer para desinfectar:
* Borrar el directorio /usr/src/.poop
* Si tu sistema tiene /etc/inetd.conf tienes que buscar una linea con el
texto /sbin/asp borra la linea y relanza el inetd.
* Buscar en /etc/rc.d/rc.sysinit un pequeño script al final que es el
comienza el scaneo.
* Quitar el usuario ftp y anonymous del fichero /etc/ftpusers
* El gusano borra /sbin/rpc.statd y /usr/sbin/rpc.statd
* Tambien borra (segun el sistema) /usr/sbin/lpd
* Restaurar el fichero /etc/hosts.deny puesto que el gusano lo borra.
* Borra el gusano de /tmp/ramen.tgz
* Reinicia la maquina.
Saludos a los linuxeros