Acabei de notar alguns diretórios estranhos armazenados em ambos os /tmp
em duas das minhas caixas CentOS.
Em uma máquina, o diretório temp é chamado /tmp/www4-679109
, enquanto na segunda máquina o diretório temp é /tmp/sos_e6X9_3
.
Ambos os diretórios suspeitos contêm quatro subdiretórios: etc proc sys var.
A pasta etc nesta árvore de diretórios suspeitos contém uma cópia idêntica do meu arquivo de configuração master send.cf sendmail. /tmp/sos_e6X9_3/etc/mail/submit.cf
e /etc/mail/submit.cf
. Isso me faz pensar que de alguma forma o sendmail foi usado para retransmitir mensagens. Embora eu não consiga verificar se os arquivos do maillog foram inconclusivos, este foi o caso.
Além disso, este diretório estranho suspenso contém algum tipo de arquivo de log de auditoria dentro dele. ( /tmp/sos_e6X9_3/var/log/audit/audit.log.1
)
Snippet de conteúdo de um arquivo de log:
type=LOGIN msg=audit(1293719401.416:2772543): login pid=6662 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557197
type=LOGIN msg=audit(1293719401.417:2772544): login pid=6660 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557198
type=LOGIN msg=audit(1293719401.418:2772545): login pid=6649 uid=0 old auid=4294967295 new auid=599 old ses=4294967295 new ses=557199
type=LOGIN msg=audit(1293719401.420:2772546): login pid=6665 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=557200
type=USER_ACCT msg=audit(1293719401.423:2772547): user pid=6668 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_START msg=audit(1293719401.424:2772548): user pid=6653 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
O que mais me preocupa com esses arquivos e diretórios suspeitos nas minhas caixas do CentOS é que parece que o diretório deles é procfs em /tmp/sos_e6X9_3/proc
. A única diferença com /tmp/sos_e6X9_3/proc
e /proc
é que, no /tmp/sos_e6X9_3/proc
, não há informações visíveis sobre o processo.
Mantive as duas máquinas CentOS atualizadas e não altero o sendmail, o que poderia torná-lo vulnerável (a menos que o sendmail esteja vulnerável).
Alguém tem alguma idéia / feedback sobre por que esses arquivos temporários e pastas suspeitos foram criados?
ATUALIZAÇÃO:
Parece que os arquivos suspeitos foram gerados pelo utilitário sosreport quando estávamos trabalhando com o suporte da Red Hat em um problema diferente. Verifiquei o log e os carimbos de data e hora correspondem ao timestamp com os arquivos e diretórios suspeitos.
Obrigado pelo seu apoio e feedback.
Vocês são demais!