Ciao a tutti,
Pur avendo una configurazione di firewall molto restrittiva (ho aperte solo le porte dell'ssh) una password di root "mediamente sicura" 12 caratteri di cui due numeri e due simboli ho preso in qualche modo, durante la configurazione di alcune cose un malware.
Questo malware è nella cartella /root e (ovviamente) non è eliminabile con i classici rm. Ho ucciso tutti i processi legati al file nella vana speranza diventasse eliminabile.
Sfortunatamente questo server è in cloud e per isolarlo dagli altri gli hanno tolto la connessione esterna, vorrei approfondire con maldet e rktoolkit per capire quale diavolo di malware ho preso.
Non avendo connessione di rete avete qualche consiglio da darmi?
Ho la cartella e so qual'è il file infetto e tutto ciò.
Nella configurazione di base non c'è proprio modo (essendo in cloud) di evitare che questo malware apra nuovi processi? Pensavo magari a qualche regola magari di più basso livello.
Alla fine la macchina non la vorrei dare per persa solo perchè riconfigurare tutti i servizi sarebbe un pò lungo e ho poco tempo in questi giorni.
Grazie dei consigli.
[RISOLTO] Malware su ubuntu server 12.04
-
- Prode Principiante
- Messaggi: 88
- Iscrizione: mercoledì 13 settembre 2006, 18:12
- Località: Torricella (Mantova)
- Contatti:
[RISOLTO] Malware su ubuntu server 12.04
Ultima modifica di emma il sabato 16 agosto 2014, 14:58, modificato 1 volta in totale.
-
- Rampante Reduce
- Messaggi: 5460
- Iscrizione: domenica 20 gennaio 2008, 1:13
- Desktop: Kubuntu
- Distribuzione: 20.04 x64
- Contatti:
Re: Malware su ubuntu server 12.04
Solo chi è entrato (o uno molto, molto, molto esperto) può stabilire fino a quanto è penetrato nel sistema ed ha lasciato schifezze e pertugi.
Una piccola esperienza...
http://www.soft-land.org/commenti/comm026
Sicchè... pronto a formattare? E ad avere una migliore politica di backup?
Una piccola esperienza...
http://www.soft-land.org/commenti/comm026
Sicchè... pronto a formattare? E ad avere una migliore politica di backup?
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
Re: Malware su ubuntu server 12.04
attributo immutabile? http://en.wikipedia.org/wiki/Chattr#Att ... 8chattr.29
lsattr -Ra /root che dice?
lsattr -Ra /root che dice?
We no longer think of chairs as technology; we just think of them as chairs. But there was a time when we hadn't worked out how many legs chairs should have, how tall they should be, and they would often 'crash' when we tried to use them.
-
- Prode Principiante
- Messaggi: 88
- Iscrizione: mercoledì 13 settembre 2006, 18:12
- Località: Torricella (Mantova)
- Contatti:
Re: Malware su ubuntu server 12.04
Non ho formattato ed ho risolto con un buon delete di 8 file che erano tra /root/ e /var/lib/mysql.. con file immutable-kimj [url=http://forum.ubuntu-it.org/viewtopic.php?p=4631909#p4631909][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:attributo immutabile? http://en.wikipedia.org/wiki/Chattr#Att ... 8chattr.29
lsattr -Ra /root che dice?
Interessante malware comunque, entrare in un server con la politica del firewall con refuse su tutte le porte e una buona password di root e di mysql non deve essere banale... aggiungo risolto !
Re: [RISOLTO] Malware su ubuntu server 12.04
pero' pike ha ragione. attento/a, specie se non hai la minima idea di come sia avvenuta la compromissione (il problema non e' certamente risolto)
We no longer think of chairs as technology; we just think of them as chairs. But there was a time when we hadn't worked out how many legs chairs should have, how tall they should be, and they would often 'crash' when we tried to use them.
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 5 ospiti