¿Troyano en CentOS?

Buen día
Tengo una maquina con CentOS 5.5 final (2.6.18-194.3.1.el5 #1 SMP Thu May 13 13:08:30 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux) instalado queria hacer pruebas para envio de mails desde el servidor desde paginas WEB pero me di cuenta de que poniendo el comando mailq aparecen varios mails que yo no he intentado enviar
-----Q-ID----- --Size-- -----Q-Time----- ------------Sender/Recipient-----------
p0CMNRBn029466*    1905 Wed Jan 12 16:23 <[email protected]>
                                 <(xxxxxx)>
p0CMNRBp029466*    1921 Wed Jan 12 16:23 <[email protected]>
                                 <(xxxxxx)>
Estos son solo 2 de los mails que aparecen, el contenido del correo es el nombre de usuario y contraseña para entrar al sistema 120 veces de la siguiente forma:
root:Contraseña
root:Contraseña
root:Contraseña
root:Contraseña
root:Contraseña
root:Contraseña
Usuario:Contraseña
...
Afortunadamente (creo) todos los mails no salen por un timeout, parte del resultado es:
¿H? Date: Web, 12 Jan 2011 16:06:35 -0600
H??From: root <[email protected]>
H??Message-Id: <[email protected]>
H??To: (xxxxxx)
H??Subject: parole ;)
Por las pocas pruebas que he hecho (realmente no se como probar) al parecer envía un mail cada vez que cualquier usuario se logea al sistema
Mi pregunta es ¿cómo puedo saber que proceso esta generando esto? ¿Una vez identificado como puedo quitarlo?
De antemano gracias por tu tiempo y tu ayuda
Respuesta
1
Tendrías que comprobar la actividad del servidor de correo, que suele generar unos logs, ¿cuál tienes instalado? Normalmente en la misma carpeta suelen estar pero bueno si me dices te ayudo. Por otra parte si es una especie de troyano deberías buscar con pues los procesos que tienes activos e ir identificándolos para ver que no tienes nada que no deba estar ejecutándose.
Te dejo también una página fundamental si quieres tener el server seguro:
http://www.securecentos.com/

2 respuestas más de otros expertos

Respuesta
1
Si es cada vez que se loguea un usuario, revisa el cron y aparte revisa estos ficheros:
.bash_history
.bash_logout
.bash_profile
. Bashrc
. Config
. Cshrc
Que se encuentran en la home del usuario, ya que es lo que se carga cuando un usuario inicia sesión, a ver si ves algo raro.
Y me cuentas.
Gracias por la pronta respuesta
Ya estuve revisando los archivos que me comentas pero no vi nada, el .config no lo encontré, ¿no hay un proceso o procesos antes que ejecuten todos los usuarios al logearse? Porque se me hace muy raro.
En el cron no vi nada raro, solo cosas que yo puse
Como el mail contiene varias veces el usuario y contraseña implica que debe tener un archivo donde lo va guardando, ¿hay forma de buscar dentro de un archivo el contenido? Algo como el comando find pero que no sea en el nombre del archivo sino en su contenido
Ya hice la búsqueda y encontré el siguiente archivo:
-rw-r--r-- 1 root root 2.1K Jan 14 16:17 /etc/ssh/.sshd_auth
y el bin de ssh fue modificado en diciembre (supongo que en esa fecha me hackearon)
[root@conmutador /]# ls -lh /usr/bin/ssh*
-rwxr-xr-x 1 root apache 231K Dec  4 02:42 /usr/bin/ssh
-rwxr-xr-x 1 root root   104K Mar 31  2010 /usr/bin/ssh-add
-rwxr-sr-x 1 root nobody  88K Mar 31  2010 /usr/bin/ssh-agent
-rwxr-xr-x 1 root root   1.3K Mar 31  2010 /usr/bin/ssh-copy-id
-rwxr-xr-x 1 root root   127K Mar 31  2010 /usr/bin/ssh-keygen
-rwxr-xr-x 1 root root   167K Mar 31  2010 /usr/bin/ssh-keyscan
Busque en la red y almenos no soy el 1ro al que le pasa :P (http://kerneltrap.org/mailarchive/freebsd-security/2010/11/27/6867866) ahora viene el como quitarlo, ahi comenta que reinstale de una fuente segura. ¿Si uso simplemente yum reinstall ssh servira o hay que borrar otras cosas? hace tiempo puse otro repositorio (el atomic) porque necesitaba php 5.2 en el servidor y Centos 5.5 solo cuenta con el 5.1.6 ¿el atomic es seguro? ¿debo dejar de usarlo o almenos quitarlo para reinstalar el ssh?
Tiene pinta de estar bien, es decir que es seguro.
No hagas eso, en todo caso haz un yum remove ssh y yum install ssh.
A ver si te borra todo y haz un nuevo repaso con el grep ycomprueba lo de los correos.
También te recomiendo, esto hazlo físicamente, no vaya a ser que te pete si lo haces pro remoto o habilita temporalmente el telnet si lo tienes que hacer por narices en remoto, lo que te iba a decir, que si puedes, cambies la contraseña de root después de desinstalar y antes de instalar, pero solo si puedes, no vaya a ser que esté escrita a "fuego" en algún lado y se vaya a fastidiar algo.
Y por supuesto, haz una copia de lo que tengas del ssh, no vaya a ser que falle la reinstalación.
Respuesta
Son correos del sistema.. informativos.. no tienes de que preocuparte... y si quieres un servidor de correo robusto bueno y escalable prueba zimbra..

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas