[GTER] Processo malicioso - Linux

Arthur Bernardes arthur.bernardes1 at gmail.com
Tue Dec 10 09:21:25 -03 2019


Já pensou na possibilidade de desativar autenticação por senha e habilitar
autenticação por chave? Uso dessa forma. Autenticação por senha somente no
console do Server.

Em ter, 10 de dez de 2019 07:24, Juliano GigaNET <juliano at giganet.net.py>
escreveu:

> A data da invasao foi dia 07/12. Nos logs vi acesso permitido do root
> por um ip da china. Dia 08 comecou a usar upload.
>
> Ja subi outra maquina e pedi pro cliente colocar uma senha mais dificil,
> tambem trocar a porta padrao do ssh para uma outra totalmente
> descaracterizada.
>
> Um abraco.
>
> Juliano
>
>
> Às 08:58 de 09/12/2019, alfredo júnior escreveu:
> > Em 09/12/2019 07:57, Juliano GigaNET escreveu:
> >> Bom dia.
> >>
> >> Tenho um servidor de um cliente, onde ele tem instalado o ispconfig
> >> para gerenciar seus dominios e o speedtest.
> >>
> >> Ontem este servidor comecou a usar toda a banda contratada em upload
> >> e após uma analise, verifiquei um processo que usa quase 100% de cpu.
> >> Ao matar este processo normaliza porém em alguns segudos este
> >> processo volta a se executar automaticamente. Acredito que esta
> >> maquinha tenha sido comprometida, porém gostaria da ajuda de voces
> >> para saber se existe alguma forma de remover estes arquivos de forma
> >> que ela volte a normalidade e tambem, como e oq devo fazer para que
> >> isso nao volte a acontecer?
> >>
> >> Procurei no disco tudo que tenha o nome do processo que se
> >> autoexecuta (dyqgqpffnq) e encontrei oque mostra abaixo.
> >>
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
> >>
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_children
>
> >>
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_release
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
> >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
> >>
> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_children
> >>
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
> >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
> >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
> >>
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_children
>
> >>
> >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
> >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_release
> >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
> >> /etc/rc3.d/S02dyqgqpffnq
> >> /etc/rc5.d/S02dyqgqpffnq
> >> /etc/rc1.d/S02dyqgqpffnq
> >> /etc/rc4.d/S02dyqgqpffnq
> >> /etc/rc2.d/S02dyqgqpffnq
> >> /etc/init.d/dyqgqpffnq
> >> /usr/bin/dyqgqpffnq
> >> /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> >> /run/systemd/generator.late/dyqgqpffnq.service
> >> /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> >> /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
> >>
> >> Obrigado a todos.
> >>
> >> Atte
> >>
> >>
> >> Juliano
> >>
> >
> > procurando no google não existe nenhuma referência a dyqgqpffnq, se
> > não for um sistema próprio com certeza foi invadido o servidor..
> >
> > Só por curiosidade qual a data e hora desse arquivos
> > /usr/bin/dyqgqpffnq e /etc/init.d/dyqgqpffnq ?
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
>
> facebook <https://www.facebook.com/giganetparaguay/>
>         instagram <https://www.instagram.com/giganetparaguay/>
>
>
>
>
>
>       JulianoFrasson
>
> Gerente de Tecnologia
>
> GIGANET S.A.
>
>
>
>
>         061 504158 <tel:061 504158 > | 0973277000 <tel:0973277000>
>
>         juliano at giganet.net.py <mailto:juliano at giganet.net.py>
>
>         www.giganet.com.py <//www.giganet.com.py>
>
>         Av. Carlos Antonio López , Edificio Damasco Piso 10 , Ciudad del
> Este -
> Paraguay
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list