SoloCodigo

Programación Web y Scripting => Perl => Mensaje iniciado por: RadicalEd en Miércoles 3 de Septiembre de 2008, 17:28

Título: Qué hace esto?
Publicado por: RadicalEd en Miércoles 3 de Septiembre de 2008, 17:28
Hola chicos de SoloCodigo, estoy viendo que el servidor Web de la empresa últimamente ha estado muy lento en cuanto a velocidad para Internet, me he puesto a buscar cosas raras y en el crontab encontré un archivo llamado tempdelete.pl, el archivo tiene esto
Código: Perl
  1. #!/usr/bin/perl
  2. open(CONF, "/etc/webmin/miniserv.conf");
  3. while(<CONF>) {
  4.         $root = $1 if (/^root=(.*)/);
  5.         }
  6. close(CONF);
  7. $ENV{'WEBMIN_CONFIG'} = "/etc/webmin";
  8. $ENV{'WEBMIN_VAR'} = "/var/webmin";
  9. chdir("$root/cron");
  10. exec("$root/cron/tempdelete.pl", @ARGV) || die "Failed to run $root/cron/tempdelete.pl : $!";
  11.  
  12.  
Al mirar lo que tiene el miniserv.conf veo que en una de sus partes llama al /etc/shadow, me podrían decir que está tratando de hacer este tempdelete.pl
Título: Re: Qué hace esto?
Publicado por: su - en Jueves 4 de Septiembre de 2008, 02:09
1. Es el "hasbang".
2. Abre el fichero /etc/webmin/miniserv.conf (solo lectura).
3. Cuando lea una linea del fichero...
4. $root (que es una variable) es igual a todo el contenido que hay despues de "root=" en el fichero (miniserv.conf).
6. Cierra el fichero.
7. Agrega al entorno de ejecucion la variable WEBMIN_CONFIG="/etc/webmin" (es como hacer un export en shell).
8. Agrega al entorno de ejecucion la variable WEBMIN_VAR="/var/webmin".
9. Cambia de directorio a $root/cron.
10. Ejecuta a $root/cron/tempdelete.pl con los mismos argumento que el script fue ejecutado.

$root/cron/tempdelete.pl debe de borrar todos los archivos temporales que tengan mas de 7 dias de existencia.
Título: Re: Qué hace esto?
Publicado por: RadicalEd en Jueves 4 de Septiembre de 2008, 14:51
Perdón su- tal vez no me explique bien, créeme que el código está tan claro que yo sabía que hacía, la pregunta era mejor así:
Tengo éste código xxxxxx, saben qué hace si es dañino o no, lo conocen como si fuera un virus?????
Título: Re: Qué hace esto?
Publicado por: su - en Viernes 5 de Septiembre de 2008, 02:47
Cita de: "Edo"
Perdón su- tal vez no me explique bien, créeme que el código está tan claro que yo sabía que hacía, la pregunta era mejor así:
Tengo éste código xxxxxx, saben qué hace si es dañino o no, lo conocen como si fuera un virus?????
El script es de Virtualmin... aunque puede ser un rootkit...
Estudia miniserv.conf
Mira los logs del sistema.
Instala y ejecuta chrootkit o rkhunter.
Estudia la salida de netstat... a ver si hay algo raro...
Elimina lo que hay en /tmp