Malware residente [RESOLVIDO] [Segurança Linux]

1. Malware residente [RESOLVIDO]

Enviado em 21/03/2017 - 09:54h

Olá pessoal

Estou com um inconveniente aqui no meu servidor e peço por favor a ajuda dos experts.
Tem um maldito malware que cria arquivos no diretório e /tmp, escripts no init.d/ e em seguida daemon com nomes bem sugestivos do tipo, Linuxsys ou getty. No init.d cria dois scripts de nome DbSecuritypt e selinux. Sem contar que cria os links simbólicos para inicializar com o sistema. Não adianta excluir os arquivos temporários ou os scripts, matar os serviços que após algum tempo, volta novamente. O importante seria saber qual arquivo que gera esses scripts.
Utilizei o clamav e removi os arquivos infectados. Mas mesmo assim, continua criando os arquivos, scripts e ativando os serviços.
Uso o CentOS 6.8 com firewall no totalmente fechado e Selinux ativado. Se não fosse isso, meu server já era. No momento não posso inativar o servidor por muito tempo. Alguma sugestão para remover o malware sem ter que parar o servidor por muito tempo?

0 0

Quote

2. Re: Malware residente

removido
(usa Nenhuma)

Enviado em 21/03/2017 - 16:15h

Carlos Domingues escreveu:

Olá pessoal

Estou com um inconveniente aqui no meu servidor e peço por favor a ajuda dos experts.
Tem um maldito malware que cria arquivos no diretório e /tmp, escripts no init.d/ e em seguida daemon com nomes bem sugestivos do tipo, Linuxsys ou getty. No init.d cria dois scripts de nome DbSecuritypt e selinux. Sem contar que cria os links simbólicos para inicializar com o sistema. Não adianta excluir os arquivos temporários ou os scripts, matar os serviços que após algum tempo, volta novamente. O importante seria saber qual arquivo que gera esses scripts.
Utilizei o clamav e removi os arquivos infectados. Mas mesmo assim, continua criando os arquivos, scripts e ativando os serviços.
Uso o CentOS 6.8 com firewall no totalmente fechado e Selinux ativado. Se não fosse isso, meu server já era. No momento não posso inativar o servidor por muito tempo. Alguma sugestão para remover o malware sem ter que parar o servidor por muito tempo?

1- Qual o tipo do servidor?
2- Sabe o que é política de segurança.
3- Esse seu relato não esta batendo.
4- Como você usou o Clamav?
5- Sabe me dizer o que é Selinux,daemon,firewall,malware?
6- Isso esta parecendo relato de usuário de Rwindows usando Linux em maquina virtual.
7- Esta mesmo usando CentOS?

0 2

Quote

3. Re: Malware residente [RESOLVIDO]

Carlos Domingues
(usa CentOS)

Enviado em 21/03/2017 - 18:01h

meianoite escreveu:

Carlos Domingues escreveu:

Olá pessoal

Estou com um inconveniente aqui no meu servidor e peço por favor a ajuda dos experts.
Tem um maldito malware que cria arquivos no diretório e /tmp, escripts no init.d/ e em seguida daemon com nomes bem sugestivos do tipo, Linuxsys ou getty. No init.d cria dois scripts de nome DbSecuritypt e selinux. Sem contar que cria os links simbólicos para inicializar com o sistema. Não adianta excluir os arquivos temporários ou os scripts, matar os serviços que após algum tempo, volta novamente. O importante seria saber qual arquivo que gera esses scripts.
Utilizei o clamav e removi os arquivos infectados. Mas mesmo assim, continua criando os arquivos, scripts e ativando os serviços.
Uso o CentOS 6.8 com firewall no totalmente fechado e Selinux ativado. Se não fosse isso, meu server já era. No momento não posso inativar o servidor por muito tempo. Alguma sugestão para remover o malware sem ter que parar o servidor por muito tempo?

1- Qual o tipo do servidor?
2- Sabe o que é política de segurança.
3- Esse seu relato não esta batendo.
4- Como você usou o Clamav?
5- Sabe me dizer o que é Selinux,daemon,firewall,malware?
6- Isso esta parecendo relato de usuário de Rwindows usando Linux em maquina virtual.
7- Esta mesmo usando CentOS?

Foi um relato sucinto sobre o que ocorreu.
Já consegui solucionar sem maiores traumas e sem parar o servidor por mais que dez minutos.
Ao contrário do que você imaginou. Sou usuário e administro servidores Linux a muitos anos e ao que me parece, é você quer conhecer detalhes sobre Linux ao fazer tais perguntas

0 0

Quote

4. Re: Malware residente [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 21/03/2017 - 18:48h

Carlos Domingues escreveu:

meianoite escreveu:

Carlos Domingues escreveu:

Olá pessoal

Estou com um inconveniente aqui no meu servidor e peço por favor a ajuda dos experts.
Tem um maldito malware que cria arquivos no diretório e /tmp, escripts no init.d/ e em seguida daemon com nomes bem sugestivos do tipo, Linuxsys ou getty. No init.d cria dois scripts de nome DbSecuritypt e selinux. Sem contar que cria os links simbólicos para inicializar com o sistema. Não adianta excluir os arquivos temporários ou os scripts, matar os serviços que após algum tempo, volta novamente. O importante seria saber qual arquivo que gera esses scripts.
Utilizei o clamav e removi os arquivos infectados. Mas mesmo assim, continua criando os arquivos, scripts e ativando os serviços.
Uso o CentOS 6.8 com firewall no totalmente fechado e Selinux ativado. Se não fosse isso, meu server já era. No momento não posso inativar o servidor por muito tempo. Alguma sugestão para remover o malware sem ter que parar o servidor por muito tempo?

1- Qual o tipo do servidor?
2- Sabe o que é política de segurança.
3- Esse seu relato não esta batendo.
4- Como você usou o Clamav?
5- Sabe me dizer o que é Selinux,daemon,firewall,malware?
6- Isso esta parecendo relato de usuário de Rwindows usando Linux em maquina virtual.
7- Esta mesmo usando CentOS?

Foi um relato sucinto sobre o que ocorreu.
Já consegui solucionar sem maiores traumas e sem parar o servidor por mais que dez minutos.
Ao contrário do que você imaginou. Sou usuário e administro servidores Linux a muitos anos e ao que me parece, é você quer conhecer detalhes sobre Linux ao fazer tais perguntas

1- Como um administrador de servidores Linux a muitos anos não tem uma política de segurança.
2- Usa o Selinux no servidores. :(

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=selinux

3- Conforme seu relato o servidor sofreu um ataque (Backdoor) é mesmo assim conseguiu solucionar sem parar o servidor por mais que dez minutos.
4- Esta seguro que o problema foi resolvido é ainda usa o servidor normalmente.
5- Usou varias ferramentas só faltou as principais para solucionar esse tipo de ataque.
6- Usa um CentOS desatualizado :(

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=centos

Muitos anos usando Linux não quer dizer nada.

Esse seu relato não esta batendo.

Obs: Para de ver filmes ou series.

Para quem não sabe o que é Malware (qualquer aplicativo que acessa informações do sistema ou de documentos alocados no disco rígido, sem a autorização do administrador). Existe vários tipos de Malware.

0 0

Quote

Malware residente [RESOLVIDO]

1. Malware residente [RESOLVIDO]

2. Re: Malware residente

3. Re: Malware residente [RESOLVIDO]

4. Re: Malware residente [RESOLVIDO]

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts