Invasao Sofrida Linux [RESOLVIDO]

13. Re: Invasao Sofrida Linux [RESOLVIDO]

William Amaral de Souza
williamm

(usa Linux Mint)

Enviado em 09/05/2014 - 11:57h

camun escreveu:

galera consegui retirar quase tudo do meu servidor, porem, tem uma entrada que nao consigo tirar pq ela muda o pid o tempo todo e ja tentei pelo nome e nao foi, segue abaixo o processo, alguem sabe como retira?

root@lxlabet:/etc# ps aux | grep sfewfesfs
root 7886 0.0 0.0 8356 968 pts/3 S+ 07:39 0:00 grep --color=auto sfewfesfs


Mesmo com killall não para?

# killall sfewfesfs


  


14. Re: Invasao Sofrida Linux [RESOLVIDO]

Wellington
wellington_r

(usa Debian)

Enviado em 09/05/2014 - 12:01h

http://www.linuxquestions.org/questions/slackware-14/my-first-brush-with-linux-malware-4175501872/

De acordo com esse tópico , parece que esse é um malware que transforma sua máquina em um spambot.

As formas de se prevenir desse ataque são: só habilitar o SSH se realmente o utiliza (aliás, isso serve como comportamento padrão de um servidor Linux), ter uma senha root mais forte, não permitir login remoto como root, e se possível, não permitir login ao ssh por senha, mas apenas por chave privada.


15. Re: Invasao Sofrida Linux [RESOLVIDO]

Wellington
wellington_r

(usa Debian)

Enviado em 09/05/2014 - 12:07h

nicolo escreveu:

Solução
http://www.linuxquestions.org/questions/slackware-14/my-first-brush-with-linux-malware-4175501872/

Não sou fera como vocês, mas parece que já aconteceu e isso resolveu:

Immutable bit strikes again
The reason that you could not remove the file as root likely was that the hacker set the "immutable" bit on it. This is one of several additional permission bits outside of the normal *nix bits.

To see if the immutable bit is set on "foo" do:

lsattr foo

The "i" below indicates that the immutable bit is set:
----i---------- foo

Turn off the immutable bit as root thusly:

chattr -i foo

Then you can remove the file.


There are other solutions to prevent a brute-force attack against ssh passwords. The best is to use a private key for ssh access. You can generate one with:

ssh-keygen -b 1024 -t dsa [-C comment] -f outputfile

Then a read of "man ssh" shows how to use it.

Alternatively, use a password of at least 12 characters which cannot be guessed. E.g., don't use "root1234", "my favorite sports team", etc.


Using a private key (with a strong passphrase) or a strong password, it is safe to allow root access.


Acho que o camum já tentou essa opção do chattr, já que ela já tinha sido postada, mas apesar de ele ter conseguido excluir o arquivo que estava tentando, aparentemente isso não impediu de o processo retornar a vida.



16. Re: Invasao Sofrida Linux [RESOLVIDO]

Felipe Leira
camun

(usa Ubuntu)

Enviado em 09/05/2014 - 14:01h

sim ja tentei a do chattr -i, e ja deletei todos os arquivos com esse nome pelo find /, o problema agora é so esse processo que nao para de mudar de PID todos os outros processos com esse nome eu consegui tirar agora esse nao consigo pq quando tento deletar ele ja mudo o PID quando tento deletar pelo nome ele diz q nao existe

como pode ver o PID ja está em 14 mil

root 14206 0.0 0.0 8356 964 pts/4 S+ 14:02 0:00 grep --color=auto sfewfesfs



17. Re: Invasao Sofrida Linux [RESOLVIDO]

Ricardo Libanio
riesdra

(usa Debian)

Enviado em 09/05/2014 - 14:31h

tire da rede, use um live cd, ai os sistema não vai estar montando, deve dar para excluir.



18. Re: Invasao Sofrida Linux [RESOLVIDO]

William Amaral de Souza
williamm

(usa Linux Mint)

Enviado em 09/05/2014 - 14:33h

Cara, eu uso bastante o webmin, nele tem uma opção que tu consegue habilitar ou desabilitar processos que iniciam com o sistema, é bem fácil, tu poderia instalar e ver o que consegue fazer com ele, quem sabe consegue desabilitar ou algo do tipo, tem bastante opção para administração do servidor.


19. Re: Invasao Sofrida Linux [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 09/05/2014 - 14:48h


1 - Por favor, pode informar qual a distro e versão foi atacada?

2 - Desativou o crontab e o at?

3 - Obtenha uma lista que quais processos chamam esse processo

# ps auxf

4 - Como disse ontem... tire esse servidor de produção e refaça sua estrutura de rede ou será novamente invadido. Troque as senhas de todos seus equipamentos de borda (modem, firewall e outros.)



20. Re: Invasao Sofrida Linux [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 09/05/2014 - 14:52h

camun escreveu:

galera consegui retirar quase tudo do meu servidor, porem, tem uma entrada que nao consigo tirar pq ela muda o pid o tempo todo e ja tentei pelo nome e nao foi, segue abaixo o processo, alguem sabe como retira?

root@lxlabet:/etc# ps aux | grep sfewfesfs
root 7886 0.0 0.0 8356 968 pts/3 S+ 07:39 0:00 grep --color=auto sfewfesfs




Cara esse PID retornado é do grep que você está fazendo... por isso muda tudo hora!


21. Re: Invasao Sofrida Linux [RESOLVIDO]

Wellington
wellington_r

(usa Debian)

Enviado em 09/05/2014 - 15:17h

kyetoy escreveu:

camun escreveu:

galera consegui retirar quase tudo do meu servidor, porem, tem uma entrada que nao consigo tirar pq ela muda o pid o tempo todo e ja tentei pelo nome e nao foi, segue abaixo o processo, alguem sabe como retira?

root@lxlabet:/etc# ps aux | grep sfewfesfs
root 7886 0.0 0.0 8356 968 pts/3 S+ 07:39 0:00 grep --color=auto sfewfesfs




Cara esse PID retornado é do grep que você está fazendo... por isso muda tudo hora!


Hahaha, esse processo realmente é o grep. Ou seja, o cara nunca conseguiria abortá-lo.
Algo simples mas que vários não conseguiram perceber.

Eu executei

ps aux | grep sfewfesfs

no meu sistema, que está "saudável" e olha a saída:


root 6237 0.0 0.0 3568 788 pts/1 S+ 15:14 0:00 grep sfewfesfs




22. Re: Invasao Sofrida Linux [RESOLVIDO]

Carlos Adean
c4rl

(usa CentOS)

Enviado em 09/05/2014 - 15:24h

Simples de ocultar esse 'grep' é só fazer conforme abaixo:


ps aux | grep sfewfesfs | grep -v grep






23. Re: Invasao Sofrida Linux [RESOLVIDO]

William Amaral de Souza
williamm

(usa Linux Mint)

Enviado em 09/05/2014 - 16:41h

wellington_r escreveu:

kyetoy escreveu:

camun escreveu:

galera consegui retirar quase tudo do meu servidor, porem, tem uma entrada que nao consigo tirar pq ela muda o pid o tempo todo e ja tentei pelo nome e nao foi, segue abaixo o processo, alguem sabe como retira?

root@lxlabet:/etc# ps aux | grep sfewfesfs
root 7886 0.0 0.0 8356 968 pts/3 S+ 07:39 0:00 grep --color=auto sfewfesfs




Cara esse PID retornado é do grep que você está fazendo... por isso muda tudo hora!


Hahaha, esse processo realmente é o grep. Ou seja, o cara nunca conseguiria abortá-lo.
Algo simples mas que vários não conseguiram perceber.

Eu executei

ps aux | grep sfewfesfs

no meu sistema, que está "saudável" e olha a saída:


root 6237 0.0 0.0 3568 788 pts/1 S+ 15:14 0:00 grep sfewfesfs




Bha, é isso ai, vivendo e aprendendo, mais uma ( de muitas ) que eu não sabia.


24. Re: Invasao Sofrida Linux [RESOLVIDO]

Felipe Leira
camun

(usa Ubuntu)

Enviado em 12/05/2014 - 12:20h

Galera gostei muito da Ajuda, realmente era o grep entao que estava aparecendo, o processo ja nao existe mais, ou seja, consegui limpar minha rede sempre precisar formatar o servidor como muitos queriam.

segue o passo a passo que eu fiz:

primeiro parei o cron no server. - service cron stop

depois desisntalei o programa que instalo o processo whoopsie.
dpkg --purge whoopsie
http://askubuntu.com/questions/135540/what-is-the-whoopsie-process-and-how-can-i-remove-it
esse site acima me ajudou muito na parte do whoopsie.

depois dei um chattr -i sfewfesfs e no sfewfesfsh
depois dei um chmod 660 nos dois arquivos. para nao deixar eles serem mais executaveis.

ai matei os processos sfewfesfs e sfewfesfsh ( obs. o processo whoopsie foi morto ao desinstalar o trojan)
com killall -9 sfewfesfs e killall -9 sfewfesfsh

e so depois de matar os processos excluir os arquivo no /etc
rm -rf /etc/sfewfesfs
e
rm -rf /etc/sfewfesfsh

pronto resolvido. A lembrando que mudei a senha de root, e liberei a porta 22 somente para o IP que precisa acessar para todo o resto está bloqueado. que foi aonde tudo começou(nao liberem a porta 22 para qualquer IP).
ja restartei o cron e ta tudo funcionando perfeitamente.

Obrigado a todos.



  
01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts