Script rodando no meu servidor

wedmarc
(usa Red Hat)

Enviado em 18/04/2015 - 10:03h

Bom dia pessoal,
O problema que eu vou relatar aqui, trata de uma invasão no meu servidor Red Hat, provavelmente efetuada pelos os chineses.
O nosso sistema estava recebendo uma quantidade muito grande de tráfego na WAN deixando nossa internet lenta e perdendo pacote para o firewall, descobrimos que nosso servidor tinha sido invadido fechamos as saída para internet, a velocidade da internet voltou ao normal. Porém não conseguimos descobrir onde foi instalado o script, sabemos que o script fica repetindo os seguintes comandos:
netstat -an
whoami
netstat -antop
ifconfig eth0
pwd
su
sleep 1
id
uptime
pwd
grep "A"
cat resolv.conf
gnome-terminal
ps -ef
route -n
neststat -an
echo "find"
who
su
sh
Fica o tempo todo rodando esses comandos. Aguem já passou por algo parecido?

Ignorante
(usa Slackware)

Enviado em 18/04/2015 - 11:07h

Como que tu descobriu isso, viu no .bash_history?
att

wedmarc
(usa Red Hat)

Enviado em 23/04/2015 - 14:22h

Pelo o comando ps -fxa.

paulopastoriza
(usa Ubuntu)

Enviado em 23/04/2015 - 20:57h

Colega, se você tem certeza que o servidor foi comprometido, recomendo que faça um backup dos seus arquivos e reinstale.
Acredito que é praticamente impossível de descobrir o que foi alterado.