Indice del forum Emilia Romagna Linux Users Group
i forum di ERLUG
torna alla home page di ERLUG
 
 Forum SubscriptionsForum Subscriptions   FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

Richiesta aiuto per sospetto rootkit su server

 
Nuovo argomento   Rispondi    Indice del forum -> ERLUG
Precedente :: Successivo  
Autore Messaggio
Enzo Ferrari
Ospite





MessaggioInviato: Ven 27 Set 2019 07:48    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

Ciao a tutti,
su un server che gestisco ho notato un processo sospetto:

ps ax

PID TTY STAT TIME COMMAND
...
17213 ? S 0:00 /tmp/.root.0.dir/.djXB8z
...

Se lo termino da root con un semplice kill non va giù, con un kill -9 va
giù ma poi torna su cambiando nome.

L'owner/group del processo è tomcat.www-data

Ho provato ad eseguire chkrootkit e rkhunter, ma non rilevano nulla di
strano.

Il file è effettivamente presente in /tmp/.root.0.dir ed è un file binario,
se dopo il kill elimino la dir, dopo un po' la dir viene creata di nuovo

ls -a /tmp/.root.0.dir/
total 296
drwxrwxrwx 2 tomcat www-data 4096 set 26 10:10 .
drwxrwxrwt 11 root root 282624 set 26 10:32 ..
-rwxrwxrwx 1 tomcat www-data 8488 set 26 09:50 .djXB8z
srwxrwxrwx 1 tomcat www-data 0 set 26 09:50 .root.0.00fff12f10aecb0d7

Che cosa posso fare per capire meglio da dove arriva questo processo?

Grazie,
ciao,
Enzo
Top
Davide Brini
Ospite





MessaggioInviato: Ven 27 Set 2019 09:24    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

On Thu, 26 Sep 2019 10:33:52 +0200, Enzo Ferrari <enzogupi@xxxxxx.xyz> wrote:

Citazione:
Ciao a tutti,
su un server che gestisco ho notato un processo sospetto:

ps ax

PID TTY STAT TIME COMMAND
...
17213 ? S 0:00 /tmp/.root.0.dir/.djXB8z
...

Se lo termino da root con un semplice kill non va giù, con un kill -9 va
giù ma poi torna su cambiando nome.

L'owner/group del processo è tomcat.www-data

Ho provato ad eseguire chkrootkit e rkhunter, ma non rilevano nulla di
strano.

Eseguili da un ambiente live (Kali o similari dovrebbero includere
strumenti di scan per rootkit).
Top
Fabio Muzzi
Ospite





MessaggioInviato: Ven 27 Set 2019 10:50    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

On 26/09/2019 10.33, Enzo Ferrari wrote:

Citazione:
17213 ?        S      0:00 /tmp/.root.0.dir/.djXB8z

Salvati una copia del file, intanto, e uploadala su virustotal.com e
vediamo che ti dice.

Sicuramente ti hanno sfondato, e l'hanno fatto dal web server.

Il fatto che torni su da solo mi lascia perplesso... prova a fermare
prima il web server (e tomcat) e poi killa quel processo... vediamo che fa.




_________________
Fabio "Kurgan" Muzzi

- IZ4UFQ -

"Il massimo danno con il minimo sforzo"
Top
Guido Bolognesi [Zen]
Ospite





MessaggioInviato: Ven 27 Set 2019 16:44    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

On Thu, Sep 26, 2019 at 1:36 PM Fabio Muzzi <kurgan@xxxxxx.xyz> wrote:
Citazione:
Salvati una copia del file, intanto, e uploadala su virustotal.com e vediamo che ti dice.
Sicuramente ti hanno sfondato, e l'hanno fatto dal web server.
sottoscrivo.

un paio di altre cose che farei:
file <file>
strings <file>
che possono dare informazioni più o meno interessanti.
Se hai i log del traffico dns generato dalla macchina ancora meglio.

Citazione:
Il fatto che torni su da solo mi lascia perplesso... prova a fermare
prima il web server (e tomcat) e poi killa quel processo... vediamo che fa.
se non e` a crontab dell'utente www-data o tomcat o chissà quale con
cui gira la parte che han sfondato.
l'utente in questione ha diritto a creare il proprio crontab? cosa c'e` dentro?
la macchina può generare traffico verso internet?
E perché? <g>

ciao,
_________________
guido
Top
Fabio Muzzi
Ospite





MessaggioInviato: Ven 27 Set 2019 16:46    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

On 26/09/2019 19.29, Guido Bolognesi [Zen] wrote:

Citazione:
un paio di altre cose che farei:
file <file>
strings <file>
che possono dare informazioni più o meno interessanti.

Giusto.

Citazione:
Citazione:
Il fatto che torni su da solo mi lascia perplesso... prova a fermare
prima il web server (e tomcat) e poi killa quel processo... vediamo che fa.
se non e` a crontab dell'utente www-data o tomcat o chissà quale con
cui gira la parte che han sfondato.

ri-giusto. visto spesso in cron ogni minuto. pero` deve avere aggiunto
anche un wget perche` lo cancella e riappare.

Citazione:
la macchina può generare traffico verso internet?
E perché? <g>

Te lo dico io perche`... perche` oggi nessun sito web con i risvoltini
funziona se non puo` connettersi a mille minchiate esterne.


_________________
Fabio "Kurgan" Muzzi

- IZ4UFQ -

"Il massimo danno con il minimo sforzo"
Top
Fernando Santagata
Ospite





MessaggioInviato: Sab 28 Set 2019 08:15    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

On Thu, Sep 26, 2019 at 07:29:24PM +0200, Guido Bolognesi [Zen] wrote:
Citazione:
On Thu, Sep 26, 2019 at 1:36 PM Fabio Muzzi <kurgan@xxxxxx.xyz> wrote:
Citazione:
Salvati una copia del file, intanto, e uploadala su virustotal.com e vediamo che ti dice.
Sicuramente ti hanno sfondato, e l'hanno fatto dal web server.
sottoscrivo.

un paio di altre cose che farei:
file <file>
strings <file>
che possono dare informazioni più o meno interessanti.
Se hai i log del traffico dns generato dalla macchina ancora meglio.

Altre cose interessanti si possono imparare esplorando l'entry di /proc per quel processo.

_________________
Fernando Santagata
Jesus saves, but Buddha makes incremental backups.
Top
Fabio Muzzi
Ospite





MessaggioInviato: Sab 28 Set 2019 08:28    Oggetto: Richiesta aiuto per sospetto rootkit su server Rispondi citando

On 27/09/2019 10.59, Fernando Santagata wrote:

Citazione:
Altre cose interessanti si possono imparare esplorando l'entry di /proc per quel processo.

Giusto. Specie l'environment direi. E anche i files aperti (comprese le
porte) con lsof.



_________________
Fabio "Kurgan" Muzzi

- IZ4UFQ -

"Il massimo danno con il minimo sforzo"
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ERLUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it

torna alla home page di ERLUG
Per informazioni o problemi, contattare info@erlug.linux.it.
La connettività per questo sito e per gli altri nostri servizi è offerta da Ehiweb.it