Resultados 1 a 3 de 3
  1. #1
    Membro
    Data de Ingresso
    Mar 2014
    Posts
    12

    Exclamation Atenção > Seu servidor Linux está infectado?

    Desculpem o alarde, mas o assunto é bem sério.

    Tudo começou no ano passado quando o cPanel foi comprometido com o Ebury. O comprometimento deles permitiu que um grupo, agora conhecido como WINDIGO
    tivesse acesso a equipe e capturasse as credenciais de servidores que abriram ticket com o cPanel. De lá para cá foram mais de 12.000 servidores infectados com o Linux/Ebury.

    Mesmo com a divulgação cPanel sobre o assunto, pouco alarde foi feito e até o presente momento não existia um método muito eficaz para identificar a existência ou não do Ebury. Ele é um Trojan/Backdoor que é instalado no servidor deixando pouquissimos vestigios de suas ações.

    A página que o cPanel publicou para determinar se o seu servidor foi comprometido (nao posso postar a url ainda por conta de ser o primeiro post) na minha opinião é confusa e muitas vezes não permite se ter certeza do comprometimento ou não do servidor.

    A documentação sobre o assunto, pelo menos até agora era muito escassa, muitas vezes se resumindo a especulações.

    Vou deixar a referência para vocês se aprofundarem vou resumir o que o Linux/Ebury faz:

    O Linux/Ebury é um backdoor que atua direto no SSH interceptando as credenciais de acesso shell, sejam elas: Senha, Chave e Palavra-passe.
    Uma vez infectado a cada conexão ssh as credenciais são capturadas e transmitidas aos operadores do grupo por trás deste Trojan.
    Uma vez que você troque a senha, ao se conectar ao servidor, a nova senha será enviada para os operadores e, importante, independente da senha ou chave, uma vez infectado o grupo tem acesso ao servidor criando um tunel ssh ou executando determinadas rotinas.

    Algo que tem sido comum em servidores com o Ebury é: a instalação do linux/cdorked que é outro trojan que substitui o binário httpd (excluindo o arquivo modificado para deixar o mínimo de vestígios). Este "apache" modificado se comunica com o servidor do grupo que dá instruções de redirecionamento. O redirecionamento vai para sites de adulto onde eles devem ganhar comissões ou para servidores com Exploits. Identificar estes redirecionamentos é uma tarefa árdua pois o trojan foi feito de forma muito inteligente para despistar os administradores. Na maioria das vezes ele "percebe" o administrador e não direciona nada, e quando direciona o usuário, o faz uma única vez armazenando um cookie para que você não consiga reproduzir o problema.

    Voltando ao Ebury, para ele ter sido instalado em uma máquina sua ELES sabiam as credenciais, e isto pode ter acontecido pelo por alguns motivos:

    1 - Você abriu um ticket no cpanel e sua senha ficou nos servidores do cPanel
    2 - Alguém do cPanel estava infectado com o Ebudy e ao acessar sua máquina seus dados foram comprometidos
    3 - Algum admin acessou a sua máquina de um servidor infectado
    a este ponto não descarto 4 - Alguém do seu data center estava infectado e ao acessar sua máquina seus dados foram comprometidos

    Também há indícios que repositórios do Centos foram comprometidos por este grupo.

    Enquanto não se sabe exatamente a origem, é de extrema importância que você avalie no primeiro momento se você está ou não infectado. Há vários comandos para obter "sinais" mas vou resumir os mais simples para você não perder tempo.

    Execute os comandos

    1 - ssh -G (G maiúsculo)
    se retornar "ssh: illegal option -- G" é bom sinal. Pois o Ebury usa o -G para interagir com o ssh

    2 - ll /lib*/libke*

    lrwxrwxrwx. 1 root root 18 Mar 13 19:02 /lib64/libkeyutils.so.1 -> libkeyutils.so.1.3*
    -rwxr-xr-x. 1 root root 12592 Jun 22 2012 /lib64/libkeyutils.so.1.3*

    Observe o tamanho dos arquivos libkeyutils.so.XX (pode ser 1.3, 1.2, 1.9)
    Se houver um libkeyutils.so maior do que 12Kb.. mal sinal.. o Ebury pode estar nele.. o tamanho padrão que eu encontrei foi o de 35K

    3 - ipcs -m |grep 666
    Se encontrar algum processo na memória com mais de 3mb.. também mal sinal

    4 - rpm -Vv keyutils-libs
    Deve haver apenas "pontos"
    ......... /lib64/libkeyutils.so.1
    ......... /lib64/libkeyutils.so.1.3
    ......... /usr/share/doc/keyutils-libs-1.4
    ......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL

    Se houver algum igual o abaixo, mal sinal..
    ......... /lib64/libkeyutils.so.1
    ....?... /lib64/libkeyutils.so.1.3
    ......... /usr/share/doc/keyutils-libs-1.4
    ......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL

    5 - rpm -qi keyutils-libs

    Procure o campo Signature.. se ele constar vazio e não algo como "RSA/SHA1, Dom 24 Jun 2012 19:18:51 BRT, Key ID 0946fca2c105b9de", mal sinal

    Se você estiver com o Ebury, praticamente todos os testes acima terão os resultados "mal sinal"

    E se você estiver com o Ebury?

    Bem... a recomendação de todo sysadmin é a que você faça um Os Reload em sua máquina pois a mesma foi comprometida e não há como garantir mais sua segurança.
    Na prática sabemos o transtorno de trabalho isto gera.

    Caso alguém confirme estar com o Ebury, amanhã vou compartilhar algumas estratégias que adotei para contornar o problema, pelo menos temporariamente até que se tenha tempo hábil de migrar para novo servidor ou realizar um OS Reload.

    Algumas referências sobre o assunto: (ainda não posso postar url enquanto não tiver 5 posts.. daqui 5 posts eu posto)

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,609
    Pessoal do PDH, postou esse comando que resume se o sistema está ou não comprometido:

    ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
    O resultado dele é confiavel?
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  3. #3
    Membro
    Data de Ingresso
    Mar 2014
    Posts
    12
    Ele é um indício, mas eu usaria as outras verificações para se ter certeza pois há dezenas de variantes do Trojan,
    tem um blog que lí recentemente, que tão logo testes como este se torne público novas versões tende a mudar o comportamento para dar um "falso negativo"

    o indicio mais claro para mim foram: o segmento de memória, e o tamanho do arquivo libkeyutils.so* que normalmente tem 10 a 12kb.

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •