[GTER] Processo malicioso - Linux

JUliano Raymundo juliano.raimundu at gmail.com
Mon Dec 9 15:46:16 -03 2019


primeiro desabilite o serviço que está rodando:
*# systemctl disable dyqgqpffnq*
isso já vai remover dos RC
após pare o serviço
*# systemctl stop dyqgqpffnq*
agora remova todos os restos desse código malicioso de seu sistema
*# find / | grep dyqgqpffnq*

por segurança faça backup dos dados criticos
suba um novo server, desconecte o atual da rede
reinstale os softwares, e restaure os backups em um novo server
garanta que seu firewall está rodando no servidor e que somente as portas
de serviços essenciais estão rodando

att.

Em seg., 9 de dez. de 2019 às 11:30, Lucas Willian Bocchi <
lucas.bocchi at gmail.com> escreveu:

> Format c: /q /s /f
>
> Em seg, 9 de dez de 2019 08:20, Juliano GigaNET <juliano at giganet.net.py>
> escreveu:
>
> > Bom dia.
> >
> > Tenho um servidor de um cliente, onde ele tem instalado o ispconfig para
> > gerenciar seus dominios e o speedtest.
> >
> > Ontem este servidor comecou a usar toda a banda contratada em upload e
> > após uma analise, verifiquei um processo que usa quase 100% de cpu. Ao
> > matar este processo normaliza porém em alguns segudos este processo
> > volta a se executar automaticamente. Acredito que esta maquinha tenha
> > sido comprometida, porém gostaria da ajuda de voces para saber se existe
> > alguma forma de remover estes arquivos de forma que ela volte a
> > normalidade e tambem, como e oq devo fazer para que isso nao volte a
> > acontecer?
> >
> > Procurei no disco tudo que tenha o nome do processo que se autoexecuta
> > (dyqgqpffnq) e encontrei oque mostra abaixo.
> >
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
> >
> >
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_children
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_release
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
> > /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_children
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
> >
> >
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_children
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_release
> > /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
> > /etc/rc3.d/S02dyqgqpffnq
> > /etc/rc5.d/S02dyqgqpffnq
> > /etc/rc1.d/S02dyqgqpffnq
> > /etc/rc4.d/S02dyqgqpffnq
> > /etc/rc2.d/S02dyqgqpffnq
> > /etc/init.d/dyqgqpffnq
> > /usr/bin/dyqgqpffnq
> > /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> > /run/systemd/generator.late/dyqgqpffnq.service
> > /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> > /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
> >
> > Obrigado a todos.
> >
> > Atte
> >
> >
> > Juliano
> >
> > --
> >
> > facebook <https://www.facebook.com/giganetparaguay/>
> >         instagram <https://www.instagram.com/giganetparaguay/>
> >
> >
> >
> >
> >
> >       JulianoFrasson
> >
> > Gerente de Tecnologia
> >
> > GIGANET S.A.
> >
> >
> >
> >
> >         061 504158 <tel:061 504158 > | 0973277000 <tel:0973277000>
> >
> >         juliano at giganet.net.py <mailto:juliano at giganet.net.py>
> >
> >         www.giganet.com.py <//www.giganet.com.py>
> >
> >         Av. Carlos Antonio López , Edificio Damasco Piso 10 , Ciudad del
> > Este -
> > Paraguay
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
*Juliano R. dos Santos *


More information about the gter mailing list