[GTER] Processo malicioso - Linux

Juliano GigaNET juliano at giganet.net.py
Tue Dec 10 07:24:07 -03 2019


A data da invasao foi dia 07/12. Nos logs vi acesso permitido do root 
por um ip da china. Dia 08 comecou a usar upload.

Ja subi outra maquina e pedi pro cliente colocar uma senha mais dificil, 
tambem trocar a porta padrao do ssh para uma outra totalmente 
descaracterizada.

Um abraco.

Juliano


Às 08:58 de 09/12/2019, alfredo júnior escreveu:
> Em 09/12/2019 07:57, Juliano GigaNET escreveu:
>> Bom dia.
>>
>> Tenho um servidor de um cliente, onde ele tem instalado o ispconfig 
>> para gerenciar seus dominios e o speedtest.
>>
>> Ontem este servidor comecou a usar toda a banda contratada em upload 
>> e após uma analise, verifiquei um processo que usa quase 100% de cpu. 
>> Ao matar este processo normaliza porém em alguns segudos este 
>> processo volta a se executar automaticamente. Acredito que esta 
>> maquinha tenha sido comprometida, porém gostaria da ajuda de voces 
>> para saber se existe alguma forma de remover estes arquivos de forma 
>> que ela volte a normalidade e tambem, como e oq devo fazer para que 
>> isso nao volte a acontecer?
>>
>> Procurei no disco tudo que tenha o nome do processo que se 
>> autoexecuta (dyqgqpffnq) e encontrei oque mostra abaixo.
>>
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_children 
>>
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_release
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
>> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_children 
>>
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
>> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
>> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
>> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_children 
>>
>> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
>> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_release
>> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
>> /etc/rc3.d/S02dyqgqpffnq
>> /etc/rc5.d/S02dyqgqpffnq
>> /etc/rc1.d/S02dyqgqpffnq
>> /etc/rc4.d/S02dyqgqpffnq
>> /etc/rc2.d/S02dyqgqpffnq
>> /etc/init.d/dyqgqpffnq
>> /usr/bin/dyqgqpffnq
>> /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
>> /run/systemd/generator.late/dyqgqpffnq.service
>> /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
>> /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
>>
>> Obrigado a todos.
>>
>> Atte
>>
>>
>> Juliano
>>
>
> procurando no google não existe nenhuma referência a dyqgqpffnq, se 
> não for um sistema próprio com certeza foi invadido o servidor..
>
> Só por curiosidade qual a data e hora desse arquivos 
> /usr/bin/dyqgqpffnq e /etc/init.d/dyqgqpffnq ?
>
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter
-- 

facebook <https://www.facebook.com/giganetparaguay/> 	
	instagram <https://www.instagram.com/giganetparaguay/> 	

	
	


      JulianoFrasson

Gerente de Tecnologia

GIGANET S.A.




	061 504158 <tel:061 504158 > | 0973277000 <tel:0973277000>

	juliano at giganet.net.py <mailto:juliano at giganet.net.py>

	www.giganet.com.py <//www.giganet.com.py>

	Av. Carlos Antonio López , Edificio Damasco Piso 10 , Ciudad del Este - 
Paraguay




More information about the gter mailing list