[RISOLTO] Malware su ubuntu server 12.04

emma · Messaggio da **emma** » lunedì 4 agosto 2014, 23:04

Ciao a tutti,
Pur avendo una configurazione di firewall molto restrittiva (ho aperte solo le porte dell'ssh) una password di root "mediamente sicura" 12 caratteri di cui due numeri e due simboli ho preso in qualche modo, durante la configurazione di alcune cose un malware.

Questo malware è nella cartella /root e (ovviamente) non è eliminabile con i classici rm. Ho ucciso tutti i processi legati al file nella vana speranza diventasse eliminabile.

Sfortunatamente questo server è in cloud e per isolarlo dagli altri gli hanno tolto la connessione esterna, vorrei approfondire con maldet e rktoolkit per capire quale diavolo di malware ho preso.

Non avendo connessione di rete avete qualche consiglio da darmi?
Ho la cartella e so qual'è il file infetto e tutto ciò.
Nella configurazione di base non c'è proprio modo (essendo in cloud) di evitare che questo malware apra nuovi processi? Pensavo magari a qualche regola magari di più basso livello.

Alla fine la macchina non la vorrei dare per persa solo perchè riconfigurare tutti i servizi sarebbe un pò lungo e ho poco tempo in questi giorni.

Grazie dei consigli.

Pike · Messaggio da **Pike** » lunedì 4 agosto 2014, 23:34

Solo chi è entrato (o uno molto, molto, molto esperto) può stabilire fino a quanto è penetrato nel sistema ed ha lasciato schifezze e pertugi.
Una piccola esperienza...
http://www.soft-land.org/commenti/comm026
Sicchè... pronto a formattare? E ad avere una migliore politica di backup?

kimj · Messaggio da **kimj** » mercoledì 13 agosto 2014, 12:45

attributo immutabile? http://en.wikipedia.org/wiki/Chattr#Att ... 8chattr.29
lsattr -Ra /root che dice?

emma · Messaggio da **emma** » sabato 16 agosto 2014, 14:58

kimj [url=http://forum.ubuntu-it.org/viewtopic.php?p=4631909#p4631909][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:attributo immutabile? http://en.wikipedia.org/wiki/Chattr#Att ... 8chattr.29
lsattr -Ra /root che dice?

Non ho formattato ed ho risolto con un buon delete di 8 file che erano tra /root/ e /var/lib/mysql.. con file immutable-
Interessante malware comunque, entrare in un server con la politica del firewall con refuse su tutte le porte e una buona password di root e di mysql non deve essere banale... aggiungo risolto !

kimj · Messaggio da **kimj** » sabato 16 agosto 2014, 16:37

pero' pike ha ragione. attento/a, specie se non hai la minima idea di come sia avvenuta la compromissione (il problema non e' certamente risolto)

Forum Ubuntu-it