Mi amigo Ariel Corgatelli me envió esta experiencia, y seguro que será de interés para todos los lectores Linuxeros de Alternaria.
Era muy temprano por la mañana y estaba sentado frente a mi PC cuando escucho mi disco rígido moverse de forma alocada... Me conecto vía SSH a mi servidor y encuentro que quieren ingresar a como de lugar.
Veo la IP de esta maquina y me imagino debe ser algún tipo de script el que están corriendo de forma automática realizo el chequeo de la IP para ver con quien me estaba topando.
Era de esperar un server Linux corriendo del otro lado, antes de disponerme a tirar toda mi artilleria pesada se me ocurre ingresar vía ssh como root con la clave 123456
ariel:/home/ariel # ssh 210.73.133.22
root@210.73.133.22's password:
Last login: Fri Mar 17 2006 19:26:06 +0800
You have new mail.
Hasta me entere de los errores en el servidor generados por el mismo. Jajaja, entre sin problemas, se imaginaran el primer comando ingresado passwd root desde ese mismo momento comenzo la inspeccion para ver porque y como estaba corriendo un equipo escaneando puertos.
[root@xd ~]# df
Filesystem 1K-? ?? ????% ??
/dev/mapper/VolGroup00-LogVol00
305314056 5295780 284509184 2% /
/dev/hdc1 101086 12122 83745 13% /boot
none 253240 0 253240 0% /dev/shm
[root@xd ~]# passwd root
Changing password for user root.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[root@xd ~]#
Password:
Hasta ese mismo momento era totalmente invisible antes los ojos del administrador root, por supuesto borre todos los log como el lo habría realizado en mi equipo y comenzo la búsqueda.
La distro era RedHat 4 Enterprise con el kernel certificado de estos muchachos y corriendo su sistema SELinux el cual establece que el sistema no queda a merced del root, en este caso no sirvió de mucho.
Con top encuentro que estaba escaneando a full con un programa llamado sshscan, no hace falta que explique lo que hace, con solo ver la figura del log de mi pobre server ya es mas que suficiente.
http://www.infosertec.com.ar/images/stories/hack.jpg
Paso seguido killall sshscan, luego busque el binario de este programita con un simple rm -R al directorio se borro el sshscan, y de ahí en mas envié el mensaje
[root@xd ~]# wall no quieras hackear a nadie sin saber con quien te metes jajaja
Broadcast message from root (pts/33) (Fri Mar 17 19:37:37 2006):
no quieras hackear a nadie sin saber con quien te metes jajaja
[root@xd ~]#
Luego y para finalizar me encargue que por lo menos sepa de mi visita y que nunca mas intente hackear a nadie si no esta seguro de lo que hace. Aquí revise un poco el kernel
[root@xd log]# uname -a
Linux xd 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux
Por ultimo liste los usuario conectados a este equipo, la IP 200.55... es de mi server, de cualquier manera le renové así que no lo intenten ustedes conmigo.
[root@xd log]# who
root pts/32 Mar 17 07:02 (:pts/29:S.0)
root pts/34 Mar 17 19:28 (200.55.127.7)
root pts/33 Mar 17 19:29 (200.55.127.7)
[root@xd log]# vi /etc/motd
Moraleja de esta experiencia: no hay que instalar programitas ya sea en windows o Linux sin saber de que se trata con el animo de arruinar equipos a nadie.
Y por ultimo mi mejor consejo, no intenten hackear a nadie solo protejan su equipo de estos ataques.
Ariel M. Corgatelli
Seguir a @facundoarena
¿Todavía no conocés The Kyoto Connection? Dulce música electro-pop fusionada con sonidos orientales producida por mi. De descarga gratuita y con licencia Creative Commons.