Suspeita de backdoor!!!

1. Suspeita de backdoor!!!

kgblol
(usa Outra)

Enviado em 07/06/2014 - 10:28h

Olá pessoal, seguinte to estranhando meu servidor...rodo um ERP no UBUNTU SERVER 12.04.2 LTS (GNU/Linux 3.5.0-45-generic x86_64).

tem uns 3 dias meu ERP vive travando e os colaboradores não conseguem sequer autenticar nele... depois de vários testes, retirei ele da LAN pq tinha muitos virus e ficou rodando direto pela NET... ficou estavel durante 1 dia apenas... utilizei o tail -f /var/log/auth.log e da o seguinte:

Jun 7 08:50:52 mydomain sshd[4383]: Received disconnect from 123.127.36.162: 11: Bye Bye [preauth]
Jun 7 08:50:56 mydomain sshd[4385]: Invalid user gdm from 123.127.36.162
Jun 7 08:50:56 mydomain sshd[4385]: input_userauth_request: invalid user gdm [preauth]
Jun 7 08:50:56 mydomain sshd[4385]: pam_unix(sshd:auth): check pass; user unknown
Jun 7 08:50:56 mydomain sshd[4385]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.127.36.162
Jun 7 08:50:58 mydomain sshd[4385]: Failed password for invalid user gdm from 123.127.36.162 port 41025 ssh2
Jun 7 08:51:02 mydomain sshd[4385]: Received disconnect from 123.127.36.162: 11: Bye Bye [preauth]
Jun 7 08:51:12 mydomain sshd[4387]: Connection closed by 123.127.36.162 [preauth]
Jun 7 09:00:01 mydomain CRON[4460]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jun 7 09:00:01 mydomain CRON[4460]: pam_unix(cron:session): session closed for user smmsp

to achando isso muito estranho e ficando preocupado com isso o que posso fazer?

fiz alguns testes aqui:

1- restart no apache --> n funcionou
2- restar no mysql --> o ERP destrava e volta a funcionar;
3- stop no postfix + CRON --> tem muitos erros deles no meu log.

obrigado se alguém puder dar uma força.

[ ]´s

0 0

Quote

2. Re: Suspeita de backdoor!!!

removido
(usa Nenhuma)

Enviado em 07/06/2014 - 11:30h

Amigo, teve dois outros usuários que relataram invasões recentes aqui no VOL.

Não estou te alarmando mas o ip que está no log é da china. Isso indica um trojan (não sei o nome dele)

http://www.meuenderecoip.com/localizar-ip.php

O a versão 12 está um pouco desatualizada. Se possível faça um novo servidor com uma nova versão e migre todos os serviços.

Se for esse trojan ele entra pelo ssh e cria arquivos com nomes aleatórios no /etc. Verifique.

0 0

Quote