[GTER] RES: Processo malicioso - Linux

Eduardo Oliveira | Gerencianet eduardo.oliveira at gerencianet.com.br
Mon Dec 9 11:56:53 -03 2019


Seu problema pode estar aqui:
> /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> /run/systemd/generator.late/dyqgqpffnq.service
> /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service

Algum serviço básico que está tendo o malware como dependência.
Mas, se eu fosse você, fazia um backup do que é importante e descartava esse servidor. O comprometimento observado é "Game Over".

Não vale o risco manter esse servidor aí não.


Atenciosamente,
-----
Eduardo Oliveira
Gerente de Infraestrutura de TI 
eduardo.oliveira at gerencianet.com.br
Departamento de Infraestrutura de TI
gerencianet.com.br | 1ª Região - Brasil
Atendimento a clientes:
4000 1234 para capitais e regiões metropolitanas e 0800 941 2343 para demais cidades.
Expediente: 2ª a 6ª feira, das 08h às 18h. Horário de Brasília, exceto feriados nacionais.

The information contained in this transmission is privileged and confidential information intended only for the use of the individual or entity named above. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this transmission in error, do not read it. Please immediately reply to the sender that you have received this communication in error and then delete it.

-----Mensagem original-----
De: gter <gter-bounces at eng.registro.br> Em nome de Lucas Willian Bocchi
Enviada em: segunda-feira, 9 de dezembro de 2019 11:30
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] Processo malicioso - Linux

Format c: /q /s /f

Em seg, 9 de dez de 2019 08:20, Juliano GigaNET <juliano at giganet.net.py>
escreveu:

> Bom dia.
>
> Tenho um servidor de um cliente, onde ele tem instalado o ispconfig 
> para gerenciar seus dominios e o speedtest.
>
> Ontem este servidor comecou a usar toda a banda contratada em upload e 
> após uma analise, verifiquei um processo que usa quase 100% de cpu. Ao 
> matar este processo normaliza porém em alguns segudos este processo 
> volta a se executar automaticamente. Acredito que esta maquinha tenha 
> sido comprometida, porém gostaria da ajuda de voces para saber se 
> existe alguma forma de remover estes arquivos de forma que ela volte a 
> normalidade e tambem, como e oq devo fazer para que isso nao volte a 
> acontecer?
>
> Procurei no disco tudo que tenha o nome do processo que se autoexecuta
> (dyqgqpffnq) e encontrei oque mostra abaixo.
>
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
>
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_ch
> ildren 
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_relea
> se /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_child
> ren /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
>
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_ch
> ildren /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_relea
> se /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
> /etc/rc3.d/S02dyqgqpffnq
> /etc/rc5.d/S02dyqgqpffnq
> /etc/rc1.d/S02dyqgqpffnq
> /etc/rc4.d/S02dyqgqpffnq
> /etc/rc2.d/S02dyqgqpffnq
> /etc/init.d/dyqgqpffnq
> /usr/bin/dyqgqpffnq
> /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> /run/systemd/generator.late/dyqgqpffnq.service
> /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
>
> Obrigado a todos.
>
> Atte
>
>
> Juliano
>
> --
>
> facebook <https://www.facebook.com/giganetparaguay/>
>         instagram <https://www.instagram.com/giganetparaguay/>
>
>
>
>
>
>       JulianoFrasson
>
> Gerente de Tecnologia
>
> GIGANET S.A.
>
>
>
>
>         061 504158 <tel:061 504158 > | 0973277000 <tel:0973277000>
>
>         juliano at giganet.net.py <mailto:juliano at giganet.net.py>
>
>         www.giganet.com.py <//www.giganet.com.py>
>
>         Av. Carlos Antonio López , Edificio Damasco Piso 10 , Ciudad 
> del Este - Paraguay
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list