En un pentest en una máquina interna en la red de mi empresa, una máquina Linux (Debian) tenía enlaces simbólicos en la carpeta var / www al directorio / etc /. La enumeración adicional mostró que había una secuencia de comandos de bash que respaldaba la carpeta / var / www, pero no era un cronjob, por lo que parecía sospechoso. ¿Alguna idea?
No hay suficiente información para determinar la probabilidad de que sea malicioso o signos de una infracción. No sería raro encontrar un script de bash que esté codificado para hacer una copia de seguridad de un directorio pero que no sea invocado regularmente. ¿A dónde iba la copia de seguridad? Si es el sistema local, probablemente solo sea un intento incompleto del administrador del sistema para implementar una copia de seguridad. Si está realizando una copia de seguridad en un sistema de archivos local, entonces me preocuparía.
Con respecto a los enlaces en / var / www / a los archivos en el directorio, etc., parece que alguien no instaló apache httpd desde el paquete de distribución de su distribución, y en su lugar se instaló manualmente. Entonces, probablemente quedaron perplejos, los archivos de configuración no están en / etc (que es donde se habrían localizado y referenciado si se hubieran instalado como un paquete). Entonces movieron los archivos a / etc y pusieron los enlaces en su lugar.
No sería una mala idea verificar la integridad de la instalación de httpd y asegurarse de que esté ejecutando una versión sin manipulación. Probablemente no sea malicioso, sino simplemente signos de un administrador de sistemas sin experiencia.
Lea otras preguntas en las etiquetas linux