На сервері (CentOS 6) періодично почали виникати перебої з мережею, велика частина пінгів приходила з помилкою. Сяк-так з'єднався до сервера по ssh, краєм ока зачепив висновок ps і побачив, що на сервері запущені сторонні процеси.
Отримавши доступ до IPMI я почав розбиратися з вірусом. Відразу скажу, що сервер був зламаний, просто сбрутфорсілі словниковий пароль, який покупець не змінив, security.log тому підтвердження.
Відразу став дивитися крони:
# Vim / etc / crontab
# Тут я знайшов цікавий запис, яка запускає якийсь /etc/cron.hourly/gcc.sh кожні три хвилини
Запис з крона видалив.
Подивився вміст цього самого скрипта:
# Cat /etc/cron.hourly/gcc.sh
for i in `cat / proc / net / dev | grep: | awk -F:`; do ifconfig $ i up done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
Шукаю підозрілі записи в кроні і видаляю їх:
# Tail /etc/cron.*/*
Обнуляють libudev.so:
#> /lib/libudev.so
Видаляю сам скрипт:
# Rm /etc/cron.hourly/gcc.sh
Шукаю підозрілі крони:
# Ls -lRt /etc/init.d/ | less
rtykqzfntq
ncalqyloch
.
Відключаю автозапуск і видаляю фізично:
# Chkconfig --del rtykqzfntq
# Chkconfig --del ncalqyloch
# Find /etc/init.d/ -name rtykqzfntq -print -delete
# Find /etc/init.d/ -name ncalqyloch -print -delete
Також шукаю в / usr / bin підозрілі записи:
# Ls -tl / usr / bin | less
rtykqzfntq
ncalqyloch
.
Видаляю їх:
# Cd / usr / bin
# Rm -f rtykqzfntq ncalqyloch
Висновок: потрібно підбирати нормальні паролі.