Bienvenido(a) a Alcance Libre 24/06/2022, 23:51

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Seguridad New Topic Post Reply
 Archivo infectado
Tópico anterior Tópico siguiente
   
fbravod
 07/19/13 09:29AM (Leído 1,811 veces)  

Nuevo
dizzy

Estado: desconectado
Forum User

Identificado: 12/01/09
Mensajes: 6
Saludos, desee hace 4 días he notado que el servidor web que controlo me genera un trafico muy elevado de subida, este es generado por un archivo llamado linuxx que se ubica en el directorio raiz, al analizar hacia donde me genera ese trafico he detectado una sitio en china 120.37.143.243, lo que no se es como se activa ese archivo, he revisado el history, el /var/log/secure, el /var/log/messages, las tareas de CRON pero no encuentro como es que se escribe en raiz, pues lo borro, el acceso por ssh lo tengo con clave rsa, ¿alguien me podría dar una idea de donde analizar para ver como se ejecuta ese archivo y eliminar esas instrucciones?.

 
Profile Email
 Quote
Joel Barrios Dueñas
 07/19/13 10:46AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
¿Tienes desactivado SELinux? Activalo. Ésta es una de muchas cosas contra las que protege SELinux.

Revisa dentro de /var/spool/crond y /var/spool/atd.

Cambia el puerto de SSH por otro distinto al 22.

Si permites ingreso por FTP, configura para usar sólo conexiones con TLS y cambia todas las contraseñas de usuarios que permitas ingresar por FTP.

Si es un servidor con CPanel... siento decirte que muy probablemente tienes instalado el backdoor que se reportó hace un par de meses. Vas a tener que desinstalar por completo apache y volver a instalarlo.
 
Profile Email Website
 Quote
fbravod
 07/19/13 11:27AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 12/01/09
Mensajes: 6
Gracias por la respuesta Joel
El SElinux estaba desactivado, ya lo activé, no tengo Cpanel el /var/spool/crond y /var/spool/atd no veo nada anormal, ya cambie el puerto ssh ahora voy a esperar ya que en los registros el archivo se ejecuta a las 8am, ademas no tengo FTP.
 
Profile Email
 Quote
Joel Barrios Dueñas
 07/19/13 12:07PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Trata de buscarlo.

BASH Formatted Code
find / -name "*comosellame*" -type f
 
Profile Email Website
 Quote
Contenido generado en: 0.12 segundos New Topic Post Reply
 Todas las horas son CDT. Hora actual 11:51 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado