Precedente :: Successivo |
Autore |
Messaggio |
Enzo Ferrari Ospite
|
Inviato: Ven 27 Set 2019 07:48 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
Ciao a tutti,
su un server che gestisco ho notato un processo sospetto:
ps ax
PID TTY STAT TIME COMMAND
...
17213 ? S 0:00 /tmp/.root.0.dir/.djXB8z
...
Se lo termino da root con un semplice kill non va giù, con un kill -9 va
giù ma poi torna su cambiando nome.
L'owner/group del processo è tomcat.www-data
Ho provato ad eseguire chkrootkit e rkhunter, ma non rilevano nulla di
strano.
Il file è effettivamente presente in /tmp/.root.0.dir ed è un file binario,
se dopo il kill elimino la dir, dopo un po' la dir viene creata di nuovo
ls -a /tmp/.root.0.dir/
total 296
drwxrwxrwx 2 tomcat www-data 4096 set 26 10:10 .
drwxrwxrwt 11 root root 282624 set 26 10:32 ..
-rwxrwxrwx 1 tomcat www-data 8488 set 26 09:50 .djXB8z
srwxrwxrwx 1 tomcat www-data 0 set 26 09:50 .root.0.00fff12f10aecb0d7
Che cosa posso fare per capire meglio da dove arriva questo processo?
Grazie,
ciao,
Enzo |
|
Top |
|
|
Davide Brini Ospite
|
Inviato: Ven 27 Set 2019 09:24 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
On Thu, 26 Sep 2019 10:33:52 +0200, Enzo Ferrari <enzogupi@xxxxxx.xyz> wrote:
Citazione: | Ciao a tutti,
su un server che gestisco ho notato un processo sospetto:
ps ax
PID TTY STAT TIME COMMAND
...
17213 ? S 0:00 /tmp/.root.0.dir/.djXB8z
...
Se lo termino da root con un semplice kill non va giù, con un kill -9 va
giù ma poi torna su cambiando nome.
L'owner/group del processo è tomcat.www-data
Ho provato ad eseguire chkrootkit e rkhunter, ma non rilevano nulla di
strano.
|
Eseguili da un ambiente live (Kali o similari dovrebbero includere
strumenti di scan per rootkit). |
|
Top |
|
|
Fabio Muzzi Ospite
|
Inviato: Ven 27 Set 2019 10:50 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
On 26/09/2019 10.33, Enzo Ferrari wrote:
Citazione: | 17213 ? S 0:00 /tmp/.root.0.dir/.djXB8z
|
Salvati una copia del file, intanto, e uploadala su virustotal.com e
vediamo che ti dice.
Sicuramente ti hanno sfondato, e l'hanno fatto dal web server.
Il fatto che torni su da solo mi lascia perplesso... prova a fermare
prima il web server (e tomcat) e poi killa quel processo... vediamo che fa.
_________________
Fabio "Kurgan" Muzzi
- IZ4UFQ -
"Il massimo danno con il minimo sforzo" |
|
Top |
|
|
Guido Bolognesi [Zen] Ospite
|
Inviato: Ven 27 Set 2019 16:44 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
On Thu, Sep 26, 2019 at 1:36 PM Fabio Muzzi <kurgan@xxxxxx.xyz> wrote:
Citazione: | Salvati una copia del file, intanto, e uploadala su virustotal.com e vediamo che ti dice.
Sicuramente ti hanno sfondato, e l'hanno fatto dal web server.
| sottoscrivo.
un paio di altre cose che farei:
file <file>
strings <file>
che possono dare informazioni più o meno interessanti.
Se hai i log del traffico dns generato dalla macchina ancora meglio.
Citazione: | Il fatto che torni su da solo mi lascia perplesso... prova a fermare
prima il web server (e tomcat) e poi killa quel processo... vediamo che fa.
| se non e` a crontab dell'utente www-data o tomcat o chissà quale con
cui gira la parte che han sfondato.
l'utente in questione ha diritto a creare il proprio crontab? cosa c'e` dentro?
la macchina può generare traffico verso internet?
E perché? <g>
ciao,
_________________
guido |
|
Top |
|
|
Fabio Muzzi Ospite
|
Inviato: Ven 27 Set 2019 16:46 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
On 26/09/2019 19.29, Guido Bolognesi [Zen] wrote:
Citazione: | un paio di altre cose che farei:
file <file>
strings <file>
che possono dare informazioni più o meno interessanti.
|
Giusto.
Citazione: | Citazione: | Il fatto che torni su da solo mi lascia perplesso... prova a fermare
prima il web server (e tomcat) e poi killa quel processo... vediamo che fa.
| se non e` a crontab dell'utente www-data o tomcat o chissà quale con
cui gira la parte che han sfondato.
|
ri-giusto. visto spesso in cron ogni minuto. pero` deve avere aggiunto
anche un wget perche` lo cancella e riappare.
Citazione: | la macchina può generare traffico verso internet?
E perché? <g>
|
Te lo dico io perche`... perche` oggi nessun sito web con i risvoltini
funziona se non puo` connettersi a mille minchiate esterne.
_________________
Fabio "Kurgan" Muzzi
- IZ4UFQ -
"Il massimo danno con il minimo sforzo" |
|
Top |
|
|
Fernando Santagata Ospite
|
Inviato: Sab 28 Set 2019 08:15 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
On Thu, Sep 26, 2019 at 07:29:24PM +0200, Guido Bolognesi [Zen] wrote:
Citazione: | On Thu, Sep 26, 2019 at 1:36 PM Fabio Muzzi <kurgan@xxxxxx.xyz> wrote:
Citazione: | Salvati una copia del file, intanto, e uploadala su virustotal.com e vediamo che ti dice.
Sicuramente ti hanno sfondato, e l'hanno fatto dal web server.
| sottoscrivo.
un paio di altre cose che farei:
file <file>
strings <file>
che possono dare informazioni più o meno interessanti.
Se hai i log del traffico dns generato dalla macchina ancora meglio.
|
Altre cose interessanti si possono imparare esplorando l'entry di /proc per quel processo.
_________________
Fernando Santagata
Jesus saves, but Buddha makes incremental backups. |
|
Top |
|
|
Fabio Muzzi Ospite
|
Inviato: Sab 28 Set 2019 08:28 Oggetto: Richiesta aiuto per sospetto rootkit su server |
|
|
On 27/09/2019 10.59, Fernando Santagata wrote:
Citazione: | Altre cose interessanti si possono imparare esplorando l'entry di /proc per quel processo.
|
Giusto. Specie l'environment direi. E anche i files aperti (comprese le
porte) con lsof.
_________________
Fabio "Kurgan" Muzzi
- IZ4UFQ -
"Il massimo danno con il minimo sforzo" |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|