Processo backdoor e zmeu em um sistema Linux [duplicado]

Navegue suas respostas
1

Primeiro, algumas informações básicas. O servidor que estamos falando está rodando o CentOS 5.6, SSH na porta 22 que pode ser acessada pela Internet (ruim, nós sabemos), o Apache na porta 8080 que pode ser acessado pela Internet e MySQL, que não pode ser acessado na internet. Alguns dias atrás, este servidor de testes foi hackeado, devido a uma senha muito simples (sim, você vai encontrá-lo em toda a Internet, ruim ...), então nós o mudamos. É claro que, desta vez, inserimos uma senha real, algo que você não encontraria na Internet.

Até agora, todo mundo foi bem. Nós tínhamos escaneado rootkits, apagamos algumas coisas que as crianças do script tinham baixado (elas logaram usando o SSH), bem, meio que as coisas normais que você faria. No entanto, hoje vimos que o servidor hackeado estava usando muito tráfego, que só precisávamos verificar se estava tudo bem. Então, nós logado usando SSH, e o que nós vemos? Sim: "Último login 21 de fevereiro 22:08 de xxx.xxx.xxx.xxx". E sim, o mesmo IP que foi usado para fazer o login no sistema antes de alterar as senhas.

No entanto, desta vez, essas criações de script instalaram alguns malwares. Eles aparentemente criaram algumas contas, e uma delas foi chamada de oracle . Ele continha a pasta .mozilla que continha a pasta lala . Abrindo essa pasta, vimos o mesmo material que as crianças do script tinham baixado com a conta de senha realmente não segura. Tentando fazer um ps -x , vimos o processo zmeu correndo. E não apenas 1, pense em uns 50 ou mais. Agora vem algumas perguntas: -)

  • Como essas crianças de script fizeram login? Nenhuma chave SSH foi carregada e as senhas foram alteradas. No entanto, eles conseguiram logar, afinal ...

  • O que faz o 'zmeu'? Parece que tem algo a ver com o phpmyadmin, mas não usamos o phpmyadmin. Interrompemos todos os processos "zmeu", excluímos os arquivos e as contas e reiniciamos o servidor.

  • A rede caiu totalmente. Tudo estava lento como o inferno, desde que este servidor hackeado estivesse conectado à rede. Parece que foi corrigido, excluindo os processos zmeu .

por Robbietjuh 22.02.2012 / 04:50

1 resposta

3

Nuke o site da órbita. É a única maneira de ter certeza.

A menos que você seja um profissional de segurança muito bom e experiente, é necessário começar de novo e carregar dados limpos conhecidos em uma nova instalação. Mesmo se você é apenas que muito bom , eu ainda seria bastante cético sobre não começar de novo. Como você viu, uma das primeiras coisas que um invasor, até mesmo um script kiddie, fará é se deixar outra maneira de entrar na próxima vez.

Como eles se conectaram?

Você realmente precisa fazer uma análise forense completa para obter a resposta, mas acho que eles lançaram um script em algum lugar no caminho do Apache, considerando a atividade do ZmEu.

Então o que o ZmEu faz?

Uma rápida verificação do Google mostra que esse software procura maneiras de invadir o phpMyAdmin. O invasor usa vários métodos para comprometer os servidores e está usando sua máquina para atacar outras pessoas por meio desse método. Então, mesmo que o seu comprometimento inicial tenha sido via ssh, eles estão usando isso para lançar ataques de outras maneiras.

Tudo estava lento?

Parece que eles estavam usando todos os recursos disponíveis para continuar a digitalização. Mais uma vez, peço-lhe para começar de novo. Confirme se todos os arquivos que você recarregou estão seguros usando um backup antes do comprometimento, controle de versão ou algum outro sistema. É comum inserir códigos maliciosos em aplicativos da Web legítimos para permitir acesso futuro.

Apenas para sorrisos, foi a senha 123456?

    
por 22.02.2012 / 05:16

Tags

ssh + ao longo de atraso após digitar a senha entre o win para linux Configurando o ClamAV com o Exim e o Mailman no Debian Squeeze