• Viernes 29 de Marzo de 2024, 16:00

Autor Tema:  Qué hace esto?  (Leído 3253 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Qué hace esto?
« en: Miércoles 3 de Septiembre de 2008, 17:28 »
0
Hola chicos de SoloCodigo, estoy viendo que el servidor Web de la empresa últimamente ha estado muy lento en cuanto a velocidad para Internet, me he puesto a buscar cosas raras y en el crontab encontré un archivo llamado tempdelete.pl, el archivo tiene esto
Código: Perl
  1. #!/usr/bin/perl
  2. open(CONF, "/etc/webmin/miniserv.conf");
  3. while(<CONF>) {
  4.         $root = $1 if (/^root=(.*)/);
  5.         }
  6. close(CONF);
  7. $ENV{'WEBMIN_CONFIG'} = "/etc/webmin";
  8. $ENV{'WEBMIN_VAR'} = "/var/webmin";
  9. chdir("$root/cron");
  10. exec("$root/cron/tempdelete.pl", @ARGV) || die "Failed to run $root/cron/tempdelete.pl : $!";
  11.  
  12.  
Al mirar lo que tiene el miniserv.conf veo que en una de sus partes llama al /etc/shadow, me podrían decir que está tratando de hacer este tempdelete.pl
El pasado son solo recuerdos, el futuro son solo sueños

su -

  • Moderador
  • ******
  • Mensajes: 2349
    • Ver Perfil
Re: Qué hace esto?
« Respuesta #1 en: Jueves 4 de Septiembre de 2008, 02:09 »
0
1. Es el "hasbang".
2. Abre el fichero /etc/webmin/miniserv.conf (solo lectura).
3. Cuando lea una linea del fichero...
4. $root (que es una variable) es igual a todo el contenido que hay despues de "root=" en el fichero (miniserv.conf).
6. Cierra el fichero.
7. Agrega al entorno de ejecucion la variable WEBMIN_CONFIG="/etc/webmin" (es como hacer un export en shell).
8. Agrega al entorno de ejecucion la variable WEBMIN_VAR="/var/webmin".
9. Cambia de directorio a $root/cron.
10. Ejecuta a $root/cron/tempdelete.pl con los mismos argumento que el script fue ejecutado.

$root/cron/tempdelete.pl debe de borrar todos los archivos temporales que tengan mas de 7 dias de existencia.
*******PELIGRO LEE ESTO!!*******

There is no place like 127.0.0.1

Conecto luego existo, no conecto luego insisto.

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Qué hace esto?
« Respuesta #2 en: Jueves 4 de Septiembre de 2008, 14:51 »
0
Perdón su- tal vez no me explique bien, créeme que el código está tan claro que yo sabía que hacía, la pregunta era mejor así:
Tengo éste código xxxxxx, saben qué hace si es dañino o no, lo conocen como si fuera un virus?????
El pasado son solo recuerdos, el futuro son solo sueños

su -

  • Moderador
  • ******
  • Mensajes: 2349
    • Ver Perfil
Re: Qué hace esto?
« Respuesta #3 en: Viernes 5 de Septiembre de 2008, 02:47 »
0
Cita de: "Edo"
Perdón su- tal vez no me explique bien, créeme que el código está tan claro que yo sabía que hacía, la pregunta era mejor así:
Tengo éste código xxxxxx, saben qué hace si es dañino o no, lo conocen como si fuera un virus?????
El script es de Virtualmin... aunque puede ser un rootkit...
Estudia miniserv.conf
Mira los logs del sistema.
Instala y ejecuta chrootkit o rkhunter.
Estudia la salida de netstat... a ver si hay algo raro...
Elimina lo que hay en /tmp
*******PELIGRO LEE ESTO!!*******

There is no place like 127.0.0.1

Conecto luego existo, no conecto luego insisto.