Servidor Linux “hackeado”, tentando descobrir como foi feito [duplicado]

2

Cerca de uma semana atrás, um bot invadiu um de nossos servidores linux e enviou 70k spam-mails dele. Eu dei uma olhada nos logs e descobri a que horas o bot estava conectado, que emails eram enviados para quem e qual IP-Adress o bot usava. No entanto, não tenho ideia de como ele realmente enviou os e-mails. O bash-history parece vazio e parece que não há arquivos modificados (verifiquei com "find"). Gostamos de garantir que não haja programas ocultos em algum lugar que iniciem o envio de spam ou pior, assim que colocarmos o servidor on-line novamente.

Então, estou perguntando: Alguma idéia de como o bot envia os e-mails? Será que ele acabou de executar um grande comando no bash? Devemos reinstalar completamente o sistema operacional no servidor ou é seguro mantê-lo funcionando com o sistema "hackeado"?

Obrigado antecipadamente

    
por Stuffy 16.04.2012 / 13:27

2 respostas

3

Primeiro de tudo - você precisa assumir que toda a máquina está comprometida. Não conecte-o de volta - reconstrua a coisa toda do zero. Uma razão muito provável é que você não pode ver nada de útil na história do bash, é que algum tipo de rootkit foi usado.

E o problema com os rootkits é que qualquer ferramenta que você usa para encontrá-los pode ser subvertida.

Eles podem ter usado uma instância bash separada, ou seu histórico bash e arquivos de log podem ter sido comprometidos - difícil de ser informado neste estágio.

Dê uma olhada nas perguntas sobre rootkits do Security Stack Exchange para obter mais informações.

    
por 16.04.2012 / 13:31
0

Talvez seu daemon smtp esteja configurado incorretamente, permitindo que os e-mails sejam transmitidos para todos os domínios.

    
por 16.04.2012 / 13:39