Alexandre Duran Posted September 24, 2010 Share Posted September 24, 2010 Caros, tivemos um incidente com um de nossos usuários que teve o site invadido - pelo mesmo grupo que invadiu a locaweb e outros provedores usando a falha de Kernel da "família" RHEL. Identificamos que usaram uma falha em modulos do WordPress, fazendo um upload do script que estou anexando. É um script unico em PHP bem completo, que mostra diretórios e comandos além de verificar possíveis brechas de segurança - praticamente um "gerenciador de invasão". Usamos tb o comando abaixo dentro do /home para identificar se outros clientes/dominios tb tinham disso afetados. O comando abaixo procura o termo "md5-cryped pass" (que faz parte do código do script PHP) em todos os arquivos do /home e encontramos outros clientes afetados, que tinham o mesmo script malicioso em seus diretórios. find . -type f -exec grep "md5-cryped pass" {} \; -print Fica a dica e o aviso, este script é do mal. :P english.zip Link to comment Share on other sites More sharing options...
MCelow Posted September 24, 2010 Share Posted September 24, 2010 Muito do mal, já mexi nele pra ver como que é! :) Link to comment Share on other sites More sharing options...
Jesmarcelo Posted September 24, 2010 Share Posted September 24, 2010 se tiverem o clamav instalado é bom rodar periodicamente também, ele pega vários scripts maliciosos, segue abaixo um script em perl salve em um arquivo com a extenção .pl e roda, vc vai receber um email por conta informando o que de malicioso existe "muda o email no script". #!/usr/bin/perl # $path="/home"; $email="email\@seudominio.com.br"; opendir(DIR,$path) || die "Não foi possível abrir o diretório: $path\n"; @users = grep { /^[^\.]/ && -d "$path/$_" } readdir(DIR); closedir(DIR); $qtd = @users; @users = sort(@users); for($i=0;$i<$qtd;$i++) { #$cmd = "/usr/bin/clamscan -r --remove /home/$users[$i] | mail -s \"Relatorio de Verificação de Virus da Conta $users[$i]\" $email"; $cmd = "/usr/local/bin/clamscan -r --infected /home/$users[$i] | mail -s \"Relatorio de Verificação de Virus da Conta $users[$i]\" $email"; system($cmd); } Link to comment Share on other sites More sharing options...
Patty Posted September 25, 2010 Share Posted September 25, 2010 Valeu a dica, pessoal. ;) Meu Norton nem deixou abrir o arquivo... hehehe Já peguei outros deste tipo em diversas contas de clientes que faço serviços pra eles. São usados pro mal, mas poderiam muito bem ser usados para o bem, pois são uma ferramenta de gerenciamento bem completa. Sugestão: não poste o arquivo pra todo mundo baixar. Sei que a intenção é boa, mas vai lá saber na mão de quem vai cair?? Link to comment Share on other sites More sharing options...
Patty Posted September 25, 2010 Share Posted September 25, 2010 find . -type f -exec grep "md5-cryped pass" {} \; -print Desculpe a ignorância, mas como usar este comando no Putty? Entrei, digitei cd /home... daí digitei o comando... é isso mesmo? Link to comment Share on other sites More sharing options...
Jesmarcelo Posted September 25, 2010 Share Posted September 25, 2010 Desculpe a ignorância, mas como usar este comando no Putty? Entrei, digitei cd /home... daí digitei o comando... é isso mesmo? copia a comando, no ssh entra no diretorio /home, cola essa linha e da enter... daí é só aguardar aguardar e aguardar, se tiver muitos arquivos deixa rodando dorme e ve depois kkkk Link to comment Share on other sites More sharing options...
chuvadenovembro Posted September 25, 2010 Share Posted September 25, 2010 copia a comando, no ssh entra no diretorio /home, cola essa linha e da enter... daí é só aguardar aguardar e aguardar, se tiver muitos arquivos deixa rodando dorme e ve depois kkkk Mas como vê o resultado? porque no winscp ele aborta o retorno em 15 segundos. Precisa ver algum log depois em alguma pasta do servidor? Porque notei que ele fica executando (mesmo depois de fechar o winscp) █ AtarWeb.com.br • Hospedagem de Site + SSL Grátis █ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis Link to comment Share on other sites More sharing options...
Alexandre Duran Posted September 25, 2010 Author Share Posted September 25, 2010 Desculpe a ignorância, mas como usar este comando no Putty? Entrei, digitei cd /home... daí digitei o comando... é isso mesmo? É isso mesmo - tem como modifica-lo para pesquisar apenas em arquivos .php, mas não me lembro como faze-lo. Alguem sabe ? Este comando serve para pesquisar o conteúdo de qualquer termo em qualquer arquivo dentro da pasta em que foi executado. Link to comment Share on other sites More sharing options...
Jesmarcelo Posted September 25, 2010 Share Posted September 25, 2010 Mas como vê o resultado? porque no winscp ele aborta o retorno em 15 segundos. Precisa ver algum log depois em alguma pasta do servidor? Porque notei que ele fica executando (mesmo depois de fechar o winscp) Recomedação: usa o putty para gerar log digite assim: find . -type f -exec grep "md5-cryped pass" {} \; -print > /home/virus.log Link to comment Share on other sites More sharing options...
Patty Posted September 25, 2010 Share Posted September 25, 2010 Ah, legal. Então eu tava fazendo certo... é que fiquei na dúvida, pois depois que colava o comando não acontecia mais nada... rs Valeu, pessoal! :) Link to comment Share on other sites More sharing options...
Recommended Posts