Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Archivo infectado
Tema anterior Tema siguiente
   
fbravod
Publicado en 19/07/13 02:29 (Leído 1594 veces)  

Nuevo
dizzy
Forum User

Inscrito: 01/12/09 Publicaciones: 6
Saludos, desee hace 4 días he notado que el servidor web que controlo me genera un trafico muy elevado de subida, este es generado por un archivo llamado linuxx que se ubica en el directorio raiz, al analizar hacia donde me genera ese trafico he detectado una sitio en china 120.37.143.243, lo que no se es como se activa ese archivo, he revisado el history, el /var/log/secure, el /var/log/messages, las tareas de CRON pero no encuentro como es que se escribe en raiz, pues lo borro, el acceso por ssh lo tengo con clave rsa, ¿alguien me podría dar una idea de donde analizar para ver como se ejecuta ese archivo y eliminar esas instrucciones?.

 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 19/07/13 03:46  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1724
País:Mexico
¿Tienes desactivado SELinux? Activalo. Ésta es una de muchas cosas contra las que protege SELinux.

Revisa dentro de /var/spool/crond y /var/spool/atd.

Cambia el puerto de SSH por otro distinto al 22.

Si permites ingreso por FTP, configura para usar sólo conexiones con TLS y cambia todas las contraseñas de usuarios que permitas ingresar por FTP.

Si es un servidor con CPanel... siento decirte que muy probablemente tienes instalado el backdoor que se reportó hace un par de meses. Vas a tener que desinstalar por completo apache y volver a instalarlo.
 
Perfil Sitio Web
 Citar
fbravod
Publicado en 19/07/13 04:27  

Nuevo
Forum User

Inscrito: 01/12/09 Publicaciones: 6
Gracias por la respuesta Joel
El SElinux estaba desactivado, ya lo activé, no tengo Cpanel el /var/spool/crond y /var/spool/atd no veo nada anormal, ya cambie el puerto ssh ahora voy a esperar ya que en los registros el archivo se ejecuta a las 8am, ademas no tengo FTP.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 19/07/13 05:07  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1724
País:Mexico
Trata de buscarlo.

BASH Formatted Code
find / -name "*comosellame*" -type f
 
Perfil Sitio Web
 Citar
Contenido generado en: 0,19 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 05:09 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado