Portanto, hospedamos um servidor de geosserviço no escritório.
Alguém aparentemente invadiu essa caixa (provavelmente via ftp ou ssh) e colocou algum tipo de coisa de rootkit gerenciado por irc.
Agora estou tentando limpar tudo, encontrei o processo pid que tenta se conectar via irc, mas não consigo descobrir quem é o processo que chama (já olhou com ps, pstree, lsof) O processo é um perl O script pertence ao usuário www, mas o ps aux | grep exibe um caminho de arquivo falso na última coluna.
Existe outra maneira de rastrear esse pid e pegar o invocador?
Esqueci de mencionar: o kernel é 2.6.23, que pode ser explorado para se tornar root, mas não consigo tocar muito nessa máquina, por isso não posso atualizar o kernel
EDIT: lsof pode ajudar:
lsof -p 9481
COMANDO PID USUÁRIO FD TIPO NOME DO TAMANHO DO DISPOSITIVO NOMESs
perl 9481 www cwd DIR 8,2608 2 / ss
perl 9481 www rtd DIR 8,2608 2 / ss
perl 9481 www txt REG 8,2 1168928 38385 / usr / bin / perl5.8.8ss
perl 9481 www mem REG 8,2 135348 23286 /lib64/ld-2.5.soss
perl 9481 www mem REG 8,2 103711 23295 /lib64/libnsl-2.5.soss
perl 9481 www mem REG 8,2 19112 23292 /lib64/libdl-2.5.soss
perl 9481 www mem REG 8,2 586243 23293 /lib64/libm-2.5.soss
perl 9481 www mem REG 8,2 27041 23291 /lib64/libcrypt-2.5.soss
perl 9481 www mem REG 8,2 14262 23307 /lib64/libutil-2.5.soss
perl 9481 www mem REG 8,2 128642 23303 /lib64/libpthread-2.5.soss
perl 9481 www mem REG 8,2 1602809 23289 / lib64 / libc -2.5.soss
perl 9481 www mem REG 8,2 19256 38662 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / IO / IO .oss
perl 9481 www mem REG 8,2 21328 38877 /usr/lib64/perl5/5.8.8/x86_64-linux-threa d-multi / auto / Socket / Socket.soss
perl 9481 www mem REG 8,2 52512 23298 /lib64/libnss_files-2.5.soss
perl 9481 www 0r FIFO 0,5 1068892 pipess
perl 9481 www 1w FIFO 0,5 1071920 pipess
perl 9481 www 2w FIFO 0,5 1068894 pipess
perl 9481 www 3u IPv4 130646198 TCP 192.168.90.7:60321->www.****.net:ircd (SYN_SENT)
Respostas:
Se posso lhe dar algum conselho, é para parar de desperdiçar seu tempo limpando. Faça uma imagem do sistema operacional para obter informações forenses para mais tarde e apenas reinstale o servidor.
Desculpe, mas é a única maneira segura de evitar que você seja rootkitted.
Mais tarde, você pode verificar a imagem, por alguns motivos, por que isso aconteceu.
Por experiência própria, fiz isso e, mais tarde, encontrei um usuário interno que tinha uma chave SSH contendo a falha do openssl em 2008.
Espero que isso esclareça as coisas.
Nota:
Se você deseja criar uma imagem / fazer backup do servidor antes de reinstalar, tenha muito cuidado ao fazer isso. Como o @dfranke disse, inicialize de um meio confiável para o backup.
Você não deve se conectar a outras máquinas a partir de um servidor raiz, pois grandes rootkits são capazes de se espalhar por sessões confiáveis, como SSH.
fonte
A linha de comando pode ser alterada se o processo alterar argv [0]. Tentar
ls -l /proc/[pid]/exe
De
man 5 proc
ps auxwf | less
fornece a "visualização da floresta" dos processos que podem mostrar qual processo iniciou esse processo (a menos que o rootkit o oculte ou o pai do aplicativo tenha saído e ele tenha sido reparado para iniciar).Isso seria principalmente acadêmico e provavelmente apenas uma mudança de tempo, mas
strings -n 10 /proc/[pid]/mem
pode ser divertido observar o passado. Você também podeecho 0x7 > /proc/[pid]/coredump_filter
usar o gdbgcore
para forçar um coredump com todo o possível, mas o processo morre, o que pode bloquear uma análise mais aprofundada.Mas definitivamente siga o conselho de Arenstar. Faça backup apenas dos dados, restaure tudo que pode ser executado nos backups e reinicie. Você provavelmente também deve restaurar o site a partir de backups, pode haver javascript malicioso adicionado a todos os arquivos html ou php. Se você está considerando uma ação legal, basta deixar a máquina de lado, desconectá-la da rede e interromper o que estiver fazendo até que especialistas forenses tenham feito seu trabalho.
fonte
Tente "cat / proc / [identificação do processo] / cmdline" Embora se for um rootkit verdadeiro, ele pode modificar o kernel para se esconder melhor.
fonte
Você deve reinstalar, eu concordo. Você já tentou escapar dos personagens no caminho? Talvez uma dessas barras faça parte de um nome de arquivo e não de um diretório. No mínimo, você deve usar o iptables para bloquear o tráfego de saída para esse host ou o IRC geral até que seja corrigido. Verifique netstat também.
fonte
Eu acho que agora você reinstalou. Seu desperdício de tempo tentando rastrear os processos e fazer análises forenses, pois as chances de qualquer coisa legalmente se desenvolver a partir dele seriam muito pequenas e as chances de encontrar o hacker seriam inúteis de qualquer maneira. A menos que seja interessante pesquisar e reverter rootkits, o que pode ser divertido :)
fonte