Um servidor linux que eu gerencio está enviando centenas de mensagens de spam de uma conta de usuário específica a cada 5 minutos.
Encontrei, dentro da conta do usuário (que executa o Wordpress), alguns scripts de exploração PHP. Um deles foi o conta-gotas Meyhem.
No entanto, não consigo encontrar sinais no sistema de que os droppers tenham comprometido o sistema. Os arquivos que eles referenciam não existem, não há processos de "host" em execução, nada no crontab, nenhuma escuta incomum ou conexões na porta 80, etc. Eu passei por todos os processos em execução e não vi nada incomum (pode ter perdido alguma coisa).
No entanto, o único sinal de um problema é que o sistema envia uma tonelada de mensagens a cada cinco minutos, usando o mesmo nome de usuário "de". (o nome de usuário do usuário comprometido mencionado acima).
Eu posso monitorar / var / log / maillog e a cada 5 minutos essas mensagens caem na fila.
Eu não consigo descobrir como dizer qual processo está fazendo isso. Eu parei o httpd, o crond, o atd e desabilitei o site do cliente para que nada estivesse atingindo os arquivos PHP maliciosos. Eu também renomeiei os arquivos PHP. Ainda assim, a cada 5 minutos, o arquivo de log mostra outro carregamento de mensagens desse usuário que está sendo enviado.
Alguém por favor pode me apontar na direção certa para encontrar este exploit / malware / etc?
Se houver uma maneira de assistir a todos os processos recém-gerados, posso ver qual deles aparece no momento em que o spam é excluído. Alguma idéia?
Trecho de maillog:
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C4BF3206075: from=<username@xyz.[domain name here].net>, size=1199, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C0421227061: from=<username@xyz.[domain name here].net>, size=1222, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: C05082060C7: from=<username@xyz.[domain name here].net>, size=1180, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BA6D922629A: from=<username@xyz.[domain name here].net>, size=1232, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC58A226B0F: from=<username@xyz.[domain name here].net>, size=1224, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BB1C6227574: from=<username@xyz.[domain name here].net>, size=1216, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: B896B226EB3: from=<username@xyz.[domain name here].net>, size=1194, nrcpt=1 (queue active)
Jan 28 18:12:13 xyz postfix/qmgr[6829]: BC7532266B8: from=<username@xyz.[domain name here].net>, size=1186, nrcpt=1 (queue active)
No php.ini, localize mail.log. Ativar o registro de e-mails do PHP.
mail.log = /var/log/phpmaillog
Também ative cabeçalhos de x-mail
mail.add_x_header = 1
Reinicialize o httpd para ativar as alterações do PHP.
Em vez de começar a monitorar este log.
tail -f /var/log/phpmaillog
Exclua esses arquivos PHP. Instale o plugin iThemes Wordpress.
Se você também tiver uma exploração de rootkit, não poderá ver os processos, conexões de rede etc. da máquina comprometida. Isso ocorre porque os executáveis que você usa foram comprometidos e ajustados para não mostrar as outras ferramentas e serviços comprometidos.
Nesse tipo de situação, você deve, no mínimo, inicializar a partir de um SO separado e verificável (algo como SystemRescueCD seria meu ponto de partida). Então você pode verificar todos os executáveis contra checksums de instalação e reinstalar qualquer coisa duvidosa. O ideal seria você derrubar o sistema e reinstalar.
Tenho certeza de que há muitos artigos úteis sobre a recuperação de rootkits no link
Talvez o TCPdump possa lhe dar uma ideia. Veja o cartão NIC enviando tráfego para esse alvo, por exemplo
tcpdump -i eth0 -p smtp -Z root (ou adicione o IP, em vez de SMTP)
Tags linux