Hola Kazabe, sin duda es algún tipo de intrusión, y no creo que nadie te
pudiera decir como ha entrado sin hacerle un análisis al sistema.
Se te puede haber metido a través de alguna aplicación web que tengas en
la máquina (se ejecuta como www-data), quizá un remote include path que
importa y ejecuta en el sistema un script que a su vez se descarga de
algún sitio y ejecuta este binario.
Mira a ver la fecha de creación del binario, busca desde donde se lanza
o que desencadena su ejecución: mira la antiguedad del proceso y busca
en los logs del servidor web a ver si hay algo raro en esas fechas
(creación/modificación del binario, lanzamiento del proceso).
Es importante que sepas como ha entrado para que puedas limpiar
correctamente y para que puedas tomar medidas para que no vuelva a ocurrir.
Mientras haces todo esto, yo optaría por algunas medidas de contención,
en primer lugar, si tienes localizadas las IPs a las que intenta
conectar (86.23.114.12), yo configuraría en el servidor una ruta nula (a
ninguna parte) hacia ese servidor, por ejemplo al loopback, de esta
manera no colapsarás el resto de la red con el tráfico.
Además, prohibiría todo el tráfico desde y hacia ese equipo salvo el
servicio que necesitas que siga ofreciendo (para que quiere ese equipo
iniciar una conexión a Internet?, pues todo filtrado!), por si tiene
algo más que intente conectarse a Internet y que no hayas detectado.
Bueno, se podrían hacer muchas cosas, sin duda lo mejor sería
desconectar el equipo de la red mientras analizas, pero supongo que esto
no será posible...
Por cierto, lamentablemente, los virus/gusanos para Linux son una
realidad, puedes intentar subir una muestra del binario a webs del tipo
"virustotal" para ver si es un virus conocido, eso te dará una idea de
lo que hace más o menos sin tener que hacer un análisis en profundidad
del malware.
Mucha suerte! ya nos cuentas!
Saludos.
kazabe escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con
> un servidor web. El servidor solo tiene los paquetes oficiales de
> lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun
> tipo) y simplemente publica un sitio web en el cual se confirman los
> pedidos que realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01
> ./s 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet
> ya no funciona, y efectivamente no puedo hacer ni siquiera un ping.
> Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un
> trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.
> Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese
> proceso, conecto nuevamente el servidor, y todo sigue funcionando sin
> problemas, asi que logicamente el problema es que ese proceso me esta
> colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD
> de Lenny como distro oficial, no tengo nada de accesos remotos, y solo
> tengo instalado lo estrictamente necesario, como pueden haberme metido
> ese proceso ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus,
> pero hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa
> direccion IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
--
Jose Selvi.
Security Technical Consultant
CISA, CISSP, CNAP, GCIH
pudiera decir como ha entrado sin hacerle un análisis al sistema.
Se te puede haber metido a través de alguna aplicación web que tengas en
la máquina (se ejecuta como www-data), quizá un remote include path que
importa y ejecuta en el sistema un script que a su vez se descarga de
algún sitio y ejecuta este binario.
Mira a ver la fecha de creación del binario, busca desde donde se lanza
o que desencadena su ejecución: mira la antiguedad del proceso y busca
en los logs del servidor web a ver si hay algo raro en esas fechas
(creación/modificación del binario, lanzamiento del proceso).
Es importante que sepas como ha entrado para que puedas limpiar
correctamente y para que puedas tomar medidas para que no vuelva a ocurrir.
Mientras haces todo esto, yo optaría por algunas medidas de contención,
en primer lugar, si tienes localizadas las IPs a las que intenta
conectar (86.23.114.12), yo configuraría en el servidor una ruta nula (a
ninguna parte) hacia ese servidor, por ejemplo al loopback, de esta
manera no colapsarás el resto de la red con el tráfico.
Además, prohibiría todo el tráfico desde y hacia ese equipo salvo el
servicio que necesitas que siga ofreciendo (para que quiere ese equipo
iniciar una conexión a Internet?, pues todo filtrado!), por si tiene
algo más que intente conectarse a Internet y que no hayas detectado.
Bueno, se podrían hacer muchas cosas, sin duda lo mejor sería
desconectar el equipo de la red mientras analizas, pero supongo que esto
no será posible...
Por cierto, lamentablemente, los virus/gusanos para Linux son una
realidad, puedes intentar subir una muestra del binario a webs del tipo
"virustotal" para ver si es un virus conocido, eso te dará una idea de
lo que hace más o menos sin tener que hacer un análisis en profundidad
del malware.
Mucha suerte! ya nos cuentas!
Saludos.
kazabe escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con
> un servidor web. El servidor solo tiene los paquetes oficiales de
> lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun
> tipo) y simplemente publica un sitio web en el cual se confirman los
> pedidos que realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01
> ./s 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet
> ya no funciona, y efectivamente no puedo hacer ni siquiera un ping.
> Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un
> trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.
> Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese
> proceso, conecto nuevamente el servidor, y todo sigue funcionando sin
> problemas, asi que logicamente el problema es que ese proceso me esta
> colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD
> de Lenny como distro oficial, no tengo nada de accesos remotos, y solo
> tengo instalado lo estrictamente necesario, como pueden haberme metido
> ese proceso ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus,
> pero hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa
> direccion IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
--
Jose Selvi.
Security Technical Consultant
CISA, CISSP, CNAP, GCIH
http://www.pentester.es
[ reply ]