Remoção de arquivos suspeitos

[ajsantos]

Olá, tenho um servidor com ubuntu server 14.04 e recentemente ele foi invadido via brute force.

os invasores inseriram no meu crontab as seguintes linhas:
*/3 * * * * root /etc/cron.hourly/gcc4.sh
*/3 * * * * root /etc/cron.hourly/kill.sh

abrindo esses scripts tem:
kill.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libkill.so /lib/libkill.so.6
/lib/libkill.so.6

gcc4.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp /lib/libudev4.so /lib/libudev4.so.6
/lib/libudev4.so.6


eu apaguei as linhas no crontab e deletei os scripts, mas não consigo deletar esses arquivos .so que estão na pasta /lib, eu removo via "rm -rf" mas eles voltam, nao sei como me livrar deles...


outra coisa: quando reinicio o servidor os arquivos kill.sh e gcc4.sh reaparecem e os códigos no crontab tbm.

se alguem tiver alguma dica de como remover definitivamente esses arquivos, eu agradeço.

[irtigor]

Desliga esse sistema e começa do zero, com a certeza de que tudo está limpo. Analisar o que foi feito e como tem o seu valor mas é desnecessariamente imprudente assumir que você encontrou todas as alterações e as desfez corretamente.

[joelsonoc]

Olá ajsantos!

Se as definições voltam após você removê-los, provavelmente existe alguma script ou algum parâmetro em algum arquivo de configuração criado ou não que torna eles a existência novamente.

Acredito que não seja um caso para informar um procedimento para achar estas informações, até porque pode ter nomes que nem mesmo conhecemos no meio de outros do sistema.

Isso é um caso que deve ser investigado minunciosamente no sistema, e um passo a passo aqui não lhe ajudará.

Caso não saiba realizar tais investigações, ou sabe mas não conseguiu achar, então é melhor iniciar do zero, mas será muito mais trabalhoso dependendo do tipo de serviço este servidor serve. Isso já é um caso a ser estudado no ambiente.

Boa sorte e abraço!

[zekkerj]

Os arquivos podem estar com bit de "indestrutível" (chattr +i). A dica pra saber se é isso é olhar imediatamente após apagá-los, pra ver se eles chegam a sumir.

Se bem que concordo com os outros colegas, uma vez comprometido, o sistema nunca mais é seguro. Eu o formataria do zero, e buscaria algumas formas de fortalecê-lo (hardening, antes de colocá-lo em produção de novo.

Algumas dicas pra que isso não aconteça mais:

1. Desative todos os serviços desnecessários.
2. Ative o firewall da máquina.
3. Ative recursos do tipo "fail2ban", que tornam ataques de força bruta muito mais difíceis.
4. Use senhas fortes, com no mínimo 8 caracteres, e suficientemente complexas, ou seja, usando pelo menos 3 dos 4 grupos de caracteres (letras minúsculas, letras maiúsculas, números e símbolos). Não use palavras de qualquer língua.
5. Mantenha seu sistema atualizado.

[Azebadam]

Ola ajsantos,


O server foi infectado com "Linux/DDoS-BH".

Algumas leituras sobre o assunto.
http://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver

http://www.diolinux.com.br/2015/10/linux-estaria-sendo-vitima-do-malware.html