Invasao Sofrida Linux [RESOLVIDO]

camun
(usa Ubuntu)

Enviado em 08/05/2014 - 17:21h

Prezados,

cometi um erro e fui invadido por alguem, consegui perceber o erro a tempo e bloqueiei, porem, o invasor deixou varios arquivos no meu /etc com nomes estranhos tipo criptografado, fui deletanto um a um na mao com rm -rf, pois, me deparei com dois que nao consigo da erro alguem sabe uma formar de forçar deletar


os dois arquivos que eu falo sao esses

1268 -rwsrwsrwt 1 root root 1295031 Abr 4 11:47 sfewfesfs
348 -rwxr-xr-x 1 root root 352604 Mai 8 17:04 sfewfesfsh

alguem sabe o q eu faço?

removido
(usa Nenhuma)

Enviado em 08/05/2014 - 17:25h

Você está usando o sudo rm -rf ou sudo su para se logar como root

camun
(usa Ubuntu)

Enviado em 08/05/2014 - 17:33h

estou sim, verifiquei agora que esses virus etao nas lista de processos, eu mato o processo e ele volta olha ai, tento matar com kill -9 e o PID e mesmo assim ele volta com outro PID talvbes por isso nao consiga deletar alguem sabe o q eu faço?


root@linuxt:/etc# ps -aux | grep sfewfesfs
root 2825 0.0 0.0 59012 1048 ? Ssl 17:31 0:00 /etc/sfewfesfs
root 2829 0.2 0.0 68952 1240 ? Ssl 17:32 0:00 /etc/sfewfesfsh
root 2867 0.0 0.0 8356 968 pts/3 S+ 17:32 0:00 grep --color=auto sfewfesfs

mattos_gru
(usa Debian)

Enviado em 08/05/2014 - 17:48h

Oi!

Reboot, rescue mode, kilall, chmod 660, rm -rf

camun
(usa Ubuntu)

Enviado em 08/05/2014 - 17:50h

isso ja fiz e nada, nao sei o q fazer, nao quero ter q formatar so por causa disso é um servidor importante

estou com essa lista de processos que nao sei o q fazer, sempre que deleto ele volta

whoopsie 2763 0.0 0.0 187668 4092 ? Ssl 17:28 0:00 whoopsie
root 3937 0.0 0.0 0 0 ? S 17:56 0:00 [kworker/u16:0]
root 3952 0.0 0.0 0 0 ? S 18:02 0:00 [kworker/u16:2]
root 4022 0.0 0.0 59012 1048 ? Ssl 18:04 0:00 /etc/sfewfesfs
root 4033 0.0 0.0 18052 716 ? Ssl 18:04 0:00 /usr/bin/pojie
root 4066 0.0 0.0 0 0 ? S 18:07 0:00 [kworker/u16:1]

removido
(usa Nenhuma)

Enviado em 08/05/2014 - 18:13h

Amigo,

Fiz uma pesquisa no google e parece que isso é algo como um virus (trojan) que afeta o crontab.

Os sites estavam em Croata e Chinês... mas o que estava em inglês que era pouco deu para entender...

Seu sistema está complemente comprometido... é caso de reinstalação.

Se for um servidor de produção deve ser tirado do ar o mais rápido possível.



sudo chattr -i /etc/sfewfesfs*;

sudo rm -rf /etc/sfewfesfs*;

após isso reboot seu sistema...

Desative o serviço crontab e verifique as tarefas agendadas.

camun
(usa Ubuntu)

Enviado em 08/05/2014 - 18:25h

poxa amigo mas nao posso parar esse servido é totalmente de produção vai para toda a empresa e aqui fucniona 24 horas, nao tem uma maneira de limpar?

verifiquei no cron e nada ta tudo limpo, inclusive ja deixei o serviço parado. mas memsmo assim o processo continua voltando eu mato ele volta eu mato ele volta e fica assim tipo em loop

camun
(usa Ubuntu)

Enviado em 08/05/2014 - 18:34h

amigo com os seus comando eu consegui para os processos quase todos, e com o comando dpkg --purge whoopsie exclui esse processo, acho que esta limpando.

porem existe ainda um processo que fica sendo recriado o tempo todo que é esse abaixo, eram tres desses que eu consegui tirar mas esse nao sai pq o PID dele muda por milezimo

root@linuxt:/etc# ps aux | grep sfewfesfs
root 4853 0.0 0.0 8356 964 pts/3 S+ 18:32 0:00 grep --color=auto sfewfesfs

mattos_gru
(usa Debian)

Enviado em 08/05/2014 - 18:34h

Desculpe a sinceridade, mas se voce é realmente responsável, isola essa maquina da rede - tira o cabo de rede dela logo de uma vez e tente recuperar.

Se não der, reinstala.

Se não for responsável, deixa rolar, acompanhe a infecção de toda a rede, perca seu emprego alem de correr o risco de ser acionado na justiça.

camun
(usa Ubuntu)

Enviado em 09/05/2014 - 07:40h

galera consegui retirar quase tudo do meu servidor, porem, tem uma entrada que nao consigo tirar pq ela muda o pid o tempo todo e ja tentei pelo nome e nao foi, segue abaixo o processo, alguem sabe como retira?

root@linuxt:/etc# ps aux | grep sfewfesfs
root 7886 0.0 0.0 8356 968 pts/3 S+ 07:39 0:00 grep --color=auto sfewfesfs

williamm
(usa Linux Mint)

Enviado em 09/05/2014 - 11:36h

Já tentou procurar onde estão estes arquivos?

find / -name sfewfesfs

nicolo
(usa Ubuntu)

Enviado em 09/05/2014 - 11:44h

Solução
http://www.linuxquestions.org/questions/slackware-14/my-first-brush-with-linux-malware-4175501872/

Não sou fera como vocês, mas parece que já aconteceu e isso resolveu:

Immutable bit strikes again
The reason that you could not remove the file as root likely was that the hacker set the "immutable" bit on it. This is one of several additional permission bits outside of the normal *nix bits.

To see if the immutable bit is set on "foo" do:

lsattr foo

The "i" below indicates that the immutable bit is set:
----i---------- foo

Turn off the immutable bit as root thusly:

chattr -i foo

Then you can remove the file.


There are other solutions to prevent a brute-force attack against ssh passwords. The best is to use a private key for ssh access. You can generate one with:

ssh-keygen -b 1024 -t dsa [-C comment] -f outputfile

Then a read of "man ssh" shows how to use it.

Alternatively, use a password of at least 12 characters which cannot be guessed. E.g., don't use "root1234", "my favorite sports team", etc.


Using a private key (with a strong passphrase) or a strong password, it is safe to allow root access.