Remoção de arquivos suspeitos

Iniciado por ajsantos, 23 de Fevereiro de 2016, 12:30

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

ajsantos

23 de Fevereiro de 2016, 12:30
Olá, tenho um servidor com ubuntu server 14.04 e recentemente ele foi invadido via brute force.

os invasores inseriram no meu crontab as seguintes linhas:
*/3 * * * * root /etc/cron.hourly/gcc4.sh
*/3 * * * * root /etc/cron.hourly/kill.sh

abrindo esses scripts tem:
kill.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libkill.so /lib/libkill.so.6
/lib/libkill.so.6

gcc4.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp /lib/libudev4.so /lib/libudev4.so.6
/lib/libudev4.so.6


eu apaguei as linhas no crontab e deletei os scripts, mas não consigo deletar esses arquivos .so que estão na pasta /lib, eu removo via "rm -rf" mas eles voltam, nao sei como me livrar deles...


outra coisa: quando reinicio o servidor os arquivos kill.sh e gcc4.sh reaparecem e os códigos no crontab tbm.

se alguem tiver alguma dica de como remover definitivamente esses arquivos, eu agradeço.

irtigor

#1
23 de Fevereiro de 2016, 13:09
Desliga esse sistema e começa do zero, com a certeza de que tudo está limpo. Analisar o que foi feito e como tem o seu valor mas é desnecessariamente imprudente assumir que você encontrou todas as alterações e as desfez corretamente.

joelsonoc

#2
23 de Fevereiro de 2016, 23:51
Olá ajsantos!

Se as definições voltam após você removê-los, provavelmente existe alguma script ou algum parâmetro em algum arquivo de configuração criado ou não que torna eles a existência novamente.

Acredito que não seja um caso para informar um procedimento para achar estas informações, até porque pode ter nomes que nem mesmo conhecemos no meio de outros do sistema.

Isso é um caso que deve ser investigado minunciosamente no sistema, e um passo a passo aqui não lhe ajudará.

Caso não saiba realizar tais investigações, ou sabe mas não conseguiu achar, então é melhor iniciar do zero, mas será muito mais trabalhoso dependendo do tipo de serviço este servidor serve. Isso já é um caso a ser estudado no ambiente.

Boa sorte e abraço!

zekkerj

#3
08 de Março de 2016, 12:16
Os arquivos podem estar com bit de "indestrutível" (chattr +i). A dica pra saber se é isso é olhar imediatamente após apagá-los, pra ver se eles chegam a sumir.

Se bem que concordo com os outros colegas, uma vez comprometido, o sistema nunca mais é seguro. Eu o formataria do zero, e buscaria algumas formas de fortalecê-lo (hardening, antes de colocá-lo em produção de novo.

Algumas dicas pra que isso não aconteça mais:

1. Desative todos os serviços desnecessários.
2. Ative o firewall da máquina.
3. Ative recursos do tipo "fail2ban", que tornam ataques de força bruta muito mais difíceis.
4. Use senhas fortes, com no mínimo 8 caracteres, e suficientemente complexas, ou seja, usando pelo menos 3 dos 4 grupos de caracteres (letras minúsculas, letras maiúsculas, números e símbolos). Não use palavras de qualquer língua.
5. Mantenha seu sistema atualizado.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D
Imprimir
Ir para Topo Páginas1
Ações