[GTER] Processo malicioso - Linux

vinicius silva vinisfreitasvvv at gmail.com
Tue Dec 10 10:31:31 -03 2019


Configurar um fail2ban também ajuda bastante.

Atenciosamente,

Vinícius Freitas

Em ter., 10 de dez. de 2019 às 09:51, Arthur Bernardes <
arthur.bernardes1 at gmail.com> escreveu:

> Já pensou na possibilidade de desativar autenticação por senha e habilitar
> autenticação por chave? Uso dessa forma. Autenticação por senha somente no
> console do Server.
>
> Em ter, 10 de dez de 2019 07:24, Juliano GigaNET <juliano at giganet.net.py>
> escreveu:
>
> > A data da invasao foi dia 07/12. Nos logs vi acesso permitido do root
> > por um ip da china. Dia 08 comecou a usar upload.
> >
> > Ja subi outra maquina e pedi pro cliente colocar uma senha mais dificil,
> > tambem trocar a porta padrao do ssh para uma outra totalmente
> > descaracterizada.
> >
> > Um abraco.
> >
> > Juliano
> >
> >
> > Às 08:58 de 09/12/2019, alfredo júnior escreveu:
> > > Em 09/12/2019 07:57, Juliano GigaNET escreveu:
> > >> Bom dia.
> > >>
> > >> Tenho um servidor de um cliente, onde ele tem instalado o ispconfig
> > >> para gerenciar seus dominios e o speedtest.
> > >>
> > >> Ontem este servidor comecou a usar toda a banda contratada em upload
> > >> e após uma analise, verifiquei um processo que usa quase 100% de cpu.
> > >> Ao matar este processo normaliza porém em alguns segudos este
> > >> processo volta a se executar automaticamente. Acredito que esta
> > >> maquinha tenha sido comprometida, porém gostaria da ajuda de voces
> > >> para saber se existe alguma forma de remover estes arquivos de forma
> > >> que ela volte a normalidade e tambem, como e oq devo fazer para que
> > >> isso nao volte a acontecer?
> > >>
> > >> Procurei no disco tudo que tenha o nome do processo que se
> > >> autoexecuta (dyqgqpffnq) e encontrei oque mostra abaixo.
> > >>
> > >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service
> > >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.list
> > >>
> >
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.clone_children
> >
> > >>
> > >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.allow
> > >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/tasks
> > >>
> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/notify_on_release
> > >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/cgroup.procs
> > >> /sys/fs/cgroup/devices/system.slice/dyqgqpffnq.service/devices.deny
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.current
> > >>
> > /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.clone_children
> > >>
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.max
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/pids.events
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/tasks
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/notify_on_release
> > >> /sys/fs/cgroup/pids/system.slice/dyqgqpffnq.service/cgroup.procs
> > >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service
> > >>
> >
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.clone_children
> >
> > >>
> > >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/tasks
> > >>
> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/notify_on_release
> > >> /sys/fs/cgroup/systemd/system.slice/dyqgqpffnq.service/cgroup.procs
> > >> /etc/rc3.d/S02dyqgqpffnq
> > >> /etc/rc5.d/S02dyqgqpffnq
> > >> /etc/rc1.d/S02dyqgqpffnq
> > >> /etc/rc4.d/S02dyqgqpffnq
> > >> /etc/rc2.d/S02dyqgqpffnq
> > >> /etc/init.d/dyqgqpffnq
> > >> /usr/bin/dyqgqpffnq
> > >> /run/systemd/generator.late/rescue.target.wants/dyqgqpffnq.service
> > >> /run/systemd/generator.late/dyqgqpffnq.service
> > >> /run/systemd/generator.late/graphical.target.wants/dyqgqpffnq.service
> > >> /run/systemd/generator.late/multi-user.target.wants/dyqgqpffnq.service
> > >>
> > >> Obrigado a todos.
> > >>
> > >> Atte
> > >>
> > >>
> > >> Juliano
> > >>
> > >
> > > procurando no google não existe nenhuma referência a dyqgqpffnq, se
> > > não for um sistema próprio com certeza foi invadido o servidor..
> > >
> > > Só por curiosidade qual a data e hora desse arquivos
> > > /usr/bin/dyqgqpffnq e /etc/init.d/dyqgqpffnq ?
> > >
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> >
> > facebook <https://www.facebook.com/giganetparaguay/>
> >         instagram <https://www.instagram.com/giganetparaguay/>
> >
> >
> >
> >
> >
> >       JulianoFrasson
> >
> > Gerente de Tecnologia
> >
> > GIGANET S.A.
> >
> >
> >
> >
> >         061 504158 <tel:061 504158 > | 0973277000 <tel:0973277000>
> >
> >         juliano at giganet.net.py <mailto:juliano at giganet.net.py>
> >
> >         www.giganet.com.py <//www.giganet.com.py>
> >
> >         Av. Carlos Antonio López , Edificio Damasco Piso 10 , Ciudad del
> > Este -
> > Paraguay
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list