Malware honnan

Linux-security

Üdv!
Egy up-to-date CentOS6-ra milyen módon mehet fel egy "Unix.Malware.Agent-1434809"? Mindig ugyanott jelenik meg bouncer néven.
(clamav megtalálja persze)
Elvileg csak egy usernek van belépése ssh-n (nem is a default porton). Támadó bejutására nem láttam utalást a logokban.
Lehet a távoli user gépe fertőzött?

  • 9273 megtekintés

( gemnon v | 2016. 06. 26., v – 09:03 )

Van rajta Wordpress? :P
Esetleg az owner, hogy ki hozta létre?

( zitev v | 2016. 06. 26., v – 09:28 )

Szerintem windowsos kliens alol siman felmegy, milyen autentikacio van ssh-n? Sima password, vagy kulcsos?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( Szenti v | 2016. 06. 26., v – 11:13 )

Nézd meg a logokban az SSH bejelentkezések idejeit, és a fájl létrehozási dátumát.

( mrceeka v | 2016. 06. 26., v – 13:06 )

Milyen IP-n nyitott szolgáltatások futnak rajta?

Üdv,
Marci

( Rt711 v | 2016. 06. 26., v – 21:01 )

Virustotal szerint itt van: wp-includes/fonts/bouncer :
SHA256 03bb2ec9e6071bd683f190accb4090cc44bf29e6c59e7d529c7f7ea87c5d7627

Bizony úgy néz ki ez egy WP site.
CentOS-t telepítsd újra, és mielőtt újra felkerül a site, nézd át mit tartalmaznak a user által feltöltött állományok.

SELinux be van kapcsolva?
-

( pepo v | 2016. 06. 28., k – 22:13 )

Még az is bőven belefér, hogy az apache-odat roppantották be. A crontab környékén nézelődj először, mielőtt fölösleges köröket futnál. (Kicsit bonyolult kifejteni, miért írom ezeket, de már láttam ilyen esetet.) Ja, meg egy rkhunter sem árt.