Report on Crack Attack to Geronimo in Feb 2002

El 5/2/2002 detectamos los siguientes sintomas:

• El `top' y el `ps' no funcionaban (no reportaban algunos de los procesos, en particular los lanzados por `petscfem' al correr en paralelo).

• El archivo `/var/log/messages' estaba cortado desde las 4:53am con la ultima entrada:

Feb  5 07:53:12 node1 ftpd[18731]: ANONYMOUS FTP LOGIN FROM
128.210.78.12 [128.210.78.12], mozilla@

Encontramos con rpm -V que el paquete procps habia sido modificado. Revisando los otros paquetes, encontramos que casi todos los ejecutables de /bin y /usr/bin habian sido tocados. Procesando, llegamos a la conclusion de que la siguiente lista de paquetes habia sido modificado:

ash-0.3.7-1
awesfx-0.4.3a-7
bash-2.04-21
console-tools-19990829-34
cpio-2.4.2-20
ed-0.2-19
fileutils-4.0.36-4
findutils-4.1.6-2
finger-server-0.17-7
gawk-3.0.6-1
gettext-0.10.35-31
grep-2.4.2-5
gzip-1.3-12
iputils-20001110-1
libtermcap-2.0.8-26
mailx-8.1.1-20
mktemp-1.5-8
mount-2.10r-5
mt-st-0.5b-10
net-tools-1.57-6
procps-2.0.7-8
psmisc-19-4
rmt-0.4b21-3
rpm-4.0.2-8
rsh-server-0.17-2.5
samba-1.9.18p10-3
samba-2.0.7-36
samba-client-2.0.7-36
samba-common-2.0.7-36
sed-3.02-9
setserial-2.17-2
sh-utils-2.0-13
slocate-2.5-5
sysklogd-1.4-7
tar-1.13.19-4
tcpdump-3.4-39
tcsh-6.10-5
telnet-server-0.17-10
textutils-2.0.11-7
umb-scheme-3.2-18
util-linux-2.10s-12
xterm-color-1.1-9

Tratamos de reinstalar los paquetes pero aparentemente no funciona porque los paquetes resintalados vuelven a quedar modificado (esta infectado el rpm ?).

Tratamos de copiar el /bin/rpm y al copiarlo desde minerva con rcp tambien queda modificado (esta infectado el rcp ?).

Entonces ahora estamos haciendo backup de todos los filesystems con tar cpzvlf en /dev/hdc4 para despues recuperar el / de una version anterior de 31/ago/2001, un poco despues de haber upgradeado el cluster de 5.2 a 7.1. Estan en geronimo:/barra_bkp

...continued on CrackAttackSolution

-- MarioStorti - 06 Feb 2002