[GTER] Processo malicioso - Linux

Bruno Cabral bruno at openline.com.br
Mon Dec 9 11:37:13 -03 2019


Se está como serviço, kill do processo nao vai impedir que reinicie. Precisa desliga-lo


sudo systemctl stop dyqgqpffnqdyqp
ou (dependendo da distribuição)

sudo service dyqgqpffnqdyqp stop

Reinstalar o servidor é indicado

[]s, !3runo

--
Cursos e Consultoria BGP e OSPF

________________________________
De: gter <gter-bounces at eng.registro.br> em nome de alfredo júnior <aljr at lbr.com.br>
Enviado: segunda-feira, 9 de dezembro de 2019 08:58
Para: gter at eng.registro.br <gter at eng.registro.br>
Assunto: Re: [GTER] Processo malicioso - Linux

Em 09/12/2019 07:57, Juliano GigaNET escreveu:
> Bom dia.
>
> Tenho um servidor de um cliente, onde ele tem instalado o ispconfig
> para gerenciar seus dominios e o speedtest.
>
> Ontem este servidor comecou a usar toda a banda contratada em upload e
> após uma analise, verifiquei um processo que usa quase 100% de cpu. Ao
> matar este processo normaliza porém em alguns segudos este processo
> volta a se executar automaticamente. Acredito que esta maquinha tenha
> sido comprometida, porém gostaria da ajuda de voces para saber se
> existe alguma forma de remover estes arquivos de forma que ela volte a
> normalidade e tambem, como e oq devo fazer para que isso nao volte a
> acontecer?
>
> Procurei no disco tudo que tenha o nome do processo que se autoexecuta
> (dyqgqpffnq) e encontrei oque mostra abaixo.
>
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_children
>
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_release
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_children
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_children
>
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_release
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
> /etc/rc3.d/S02dyqgqpffnq
> /etc/rc5.d/S02dyqgqpffnq
> /etc/rc1.d/S02dyqgqpffnq
> /etc/rc4.d/S02dyqgqpffnq
> /etc/rc2.d/S02dyqgqpffnq
> /etc/init.d/dyqgqpffnq
> /usr/bin/dyqgqpffnq
> /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> /run/systemd/generator.late/dyqgqpffnq.service
> /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
>
> Obrigado a todos.
>
> Atte
>
>
> Juliano
>

procurando no google não existe nenhuma referência a dyqgqpffnq, se não
for um sistema próprio com certeza foi invadido o servidor..

Só por curiosidade qual a data e hora desse arquivos /usr/bin/dyqgqpffnq
e /etc/init.d/dyqgqpffnq ?


--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list