[GTER] Processo malicioso - Linux

Francisco V Brasileiro francisco at brasileiro.adm.br
Mon Dec 9 13:21:19 -03 2019


Antes de remover, faça uma cópia do artefato (arquivos) para serem
submetidos as empresas de segurança/antivírus, a fim de identificar e se
ainda não forem conhecidos, ser criada assinatura e assim passar a serem
bloqueados.



Em seg, 9 de dez de 2019 10:26, Marcio Merlone <marcio.merlone at a1.ind.br>
escreveu:

> killall -9 dyqgqpffnq; locate dyqgqpffnq | xargs rm -rf
>
> Mesmo que consiga remover o malware, o servidor está condenado, não é
> confiável e vais ter que subir outro. Tem backup?
>
> Em 09/12/2019 07:57, Juliano GigaNET escreveu:
> > Bom dia.
> >
> > Tenho um servidor de um cliente, onde ele tem instalado o ispconfig
> > para gerenciar seus dominios e o speedtest.
> >
> > Ontem este servidor comecou a usar toda a banda contratada em upload e
> > após uma analise, verifiquei um processo que usa quase 100% de cpu. Ao
> > matar este processo normaliza porém em alguns segudos este processo
> > volta a se executar automaticamente. Acredito que esta maquinha tenha
> > sido comprometida, porém gostaria da ajuda de voces para saber se
> > existe alguma forma de remover estes arquivos de forma que ela volte a
> > normalidade e tambem, como e oq devo fazer para que isso nao volte a
> > acontecer?
> >
> > Procurei no disco tudo que tenha o nome do processo que se autoexecuta
> > (dyqgqpffnq) e encontrei oque mostra abaixo.
> >
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
> >
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_children
>
> >
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_release
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_children
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
> >
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_children
>
> >
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_release
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
> > /etc/rc3.d/S02dyqgqpffnq
> > /etc/rc5.d/S02dyqgqpffnq
> > /etc/rc1.d/S02dyqgqpffnq
> > /etc/rc4.d/S02dyqgqpffnq
> > /etc/rc2.d/S02dyqgqpffnq
> > /etc/init.d/dyqgqpffnq
> > /usr/bin/dyqgqpffnq
> > /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> > /run/systemd/generator.late/dyqgqpffnq.service
> > /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> > /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
> >
> > Obrigado a todos.
> >
> > Atte
> >
> >
> > Juliano
> >
> --
> *Marcio Merlone*
> TI - Administrador de redes
>
> *A1 Engenharia - Unidade Corporativa*
> Fone:   +55 41 3616-3797
> Cel:    +55 41 99689-0036
>
> https://a1.ind.br/ <https://a1.ind.br>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list