Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Ajuda com Scalper Worn - Derrubando conexão [RESOLVIDO]
28/11/2011, 12:56 (Resposta editada pela última vez em: 22/12/2011 19:28 por mharcelo.)
Resposta: #1
Ajuda com Scalper Worn - Derrubando conexão [RESOLVIDO]
Olá amigos, ainda estou aprendendo a lidar com o Debian , instalei um servidor em uma empresa rodando o Apache para uso da plataforma moodle.
O servidor possui apache, ssh, mysql, java e jboss rodando.

De uns dias pra cá, o "servidor começou a derrubar a internet" e tornar-se inacessível via ssh. sendo necessário o reinicio dele. Uso o Debian Squeeze com a ultima versão do apache e com um firewall em Iptables.

Usei a ferramenta de rootkits rkhunter e ele me exibiu uma ameça:

Scalper Worn ......................[warning]

acredito ser ele o problema.

Li em um fórum que pra remoção deveria apagar o arquivo /tmp.a e eliminar o processo .a .

Sempre removo tal arquivo mas ele volta a aparecer, e tambem não me listas nenhum processo ".a" para finalizálo.

Caso alguem tiver uma solução ficarei grato.

Um abraço.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
28/11/2011, 14:52
Resposta: #2
RE: Ajuda com Scalper Worn - Derrubando conexão
tem algun horario que sempre acontece isto? usando ele localmente ver se é a placa de rede que esta desativa?

Jvianez
Todo Cristão é Livre use Linux e não seja Pirata.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
28/11/2011, 20:43
Resposta: #3
RE: Ajuda com Scalper Worn - Derrubando conexão
Caro amigo , a principio é percebido logo pela manhâ o problema arpoximandamente às 7 horas da manhã, e a placa de rede não fica desativada.

Parece que algo está gerando um ataque de DDos ( contatamos o nosso provedor de internet) e eles me repassaram que quando a internet cai, é porque algum micro está gerando muito tráfego na rede, e ao retirar o debia da rede ( desconectando o cado da internet do micro) a internet normaliza.

Abraço e no aguardo e novas sugestões
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
29/11/2011, 10:29
Resposta: #4
RE: Ajuda com Scalper Worn - Derrubando conexão
Ola pelo que pesquisei na net o problema é uma falha no apache onde este vírus consegui infectar, para ver se este é o seu casso pare o serviço do apache por um dia para ver se continua acontecendo, também apague todos os arquivos da pasta /tmp principalmente os ocultos, e ver executa o comando top para ver se tem o processo .a e atualiza o apache a parti do site http://www.apache.org/dist/httpd/ e ver se funciona.

Jvianez
Todo Cristão é Livre use Linux e não seja Pirata.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
29/11/2011, 21:15
Resposta: #5
RE: Ajuda com Scalper Worn - Derrubando conexão
Amigo, fiz a atualização do Apache, deixei um bom tempo o serviço do Apache parado, não ocorreu o problema, porém não localizo o processo ".a" conforme a recomendação para remoção do rootkit "ScalperWorm".

Os arquivos do diretório /tmp também acabei removendo inclusive os ocultos.

O que fiz por ultimo foi atualizar o clamav e rodar ele , e no diretório /var/jboss/ encontrei 6 arquivos de trojans, ambos de nomenclatura derivada de "kisses.tar.gz" . Já removi os 6 arquivos, restartei o server e rodei novamente o clamav e ela não encontrou mais nada. Porém nesta ultima madrugada o problema voltou a ocorrer. Algum processo acabou derrubando novamente a conexão. Fiz a instalação do Fail2Ban e consultei os ultimos logs dele do apache e o que encontrei após o problema foi o seguinte:

[email protected]:~# tail /var/log/apache*/*error.log
[Tue Nov 29 00:49:16 2011] [error] [client 83.96.162.13] File does not exist: /var/www/dnscfg.cgi
[Tue Nov 29 00:49:28 2011] [error] [client 83.96.162.13] File does not exist: /var/www/dnscfg.cgi
[Tue Nov 29 00:51:08 2011] [error] [client 83.96.162.13] File does not exist: /var/www/password.cgi
[Tue Nov 29 00:51:28 2011] [error] [client 83.96.162.13] File does not exist: /var/www/password.cgi
[Tue Nov 29 00:53:10 2011] [error] [client 83.96.162.13] File does not exist: /var/www/dnscfg.cgi
[Tue Nov 29 00:55:10 2011] [error] [client 83.96.162.13] File does not exist: /var/www/rebootinfo.cgi
[Tue Nov 29 01:58:13 2011] [notice] caught SIGTERM, shutting down

dei um "tracert" para o ip 83.96.162.13 ele ele me retornou para um dominio externo ns1.redworks.nl.

Fiz o bloqueio deste IP e dominio no conf do Apache, porem acredito que a vulnerabilidade ocorreu com o Jboss, hoje fiz uma configuração para criação de senha no jmx-console e web-console do JBoss já que o mesmo possuia senhas padrões que eu não havia percebido. Restartei novamente o server, irei acompanhar se o problema voltará a ocorrer.

Estou aberto a novas sugestões, obrigado pela colaboração.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
30/11/2011, 09:55
Resposta: #6
RE: Ajuda com Scalper Worn - Derrubando conexão
bloqueia este ip com o iptable para ver se resolve e verifica estes arquivos para ver se faz referencia a este domínio ou ip, qualquer coisa posta o conteúdo dos arquivos
iptables -A FORWARD -s 83.96.162.13 -p tcp -m tcp --dport 80 -j DROP

Jvianez
Todo Cristão é Livre use Linux e não seja Pirata.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
01/12/2011, 21:01
Resposta: #7
RE: Ajuda com Scalper Worn - Derrubando conexão
Caro amigo Jvianez, fiz o bloquei do ip no iptables mas ele me retornou outro IP pelo log:

~# tail /var/log/apache*/*error.log
[Thu Dec 01 19:18:32 2011] [error] [client 74.63.241.217] File does not exist: /var/www/password.cgi
[Thu Dec 01 19:18:32 2011] [error] [client 74.63.241.217] File does not exist: /var/www/dnscfg.cgi
[Thu Dec 01 19:18:32 2011] [error] [client 74.63.241.217] File does not exist: /var/www/dnscfg.cgi
[Thu Dec 01 19:18:32 2011] [error] [client 74.63.241.217] File does not exist: /var/www/dnscfg.cgi
[Thu Dec 01 19:18:33 2011] [error] [client 74.63.241.217] File does not exist: /var/www/dnscfg.cgi
[Thu Dec 01 19:18:33 2011] [error] [client 74.63.241.217] File does not exist: /var/www/dnscfg.cgi
[Thu Dec 01 19:18:33 2011] [error] [client 74.63.241.217] File does not exist: /var/www/dnscfg.cgi
[Thu Dec 01 19:18:34 2011] [error] [client 74.63.241.217] File does not exist: /var/www/rebootinfo.cgi
[Thu Dec 01 19:18:34 2011] [error] [client 74.63.241.217] File does not exist: /var/www/rebootinfo.cgi
[Thu Dec 01 19:18:34 2011] [error] [client 74.63.241.217] File does not exist: /var/www/rebootinfo.cgi

o curioso que o problema esta ocorrendo sempre na madrugada, nenhum destes arquivos existem no diretório /var/www .

ainda em relação ao Worn Scalper o rkhuner continua encontrando, assim tambem como o Chkrootkit o encontra. O que eu não tenho certeza, de que o problema esta ligado a esse Worn Scalper ou o mesmo trata-se de algum "falso positivo". Fiz novas checagens com o Clamav porém nada mais fora encontrado. Será que se eu removesse e reinstalasse totalmente o Apache, o Java e o Jboss teria possibilidade de solucionar o problema ?

abraço.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/12/2011, 07:53
Resposta: #8
RE: Ajuda com Scalper Worn - Derrubando conexão
Já tentou a atualização do apache? pois é o apache que esta infectado, vai fazendo por parte

Jvianez
Todo Cristão é Livre use Linux e não seja Pirata.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
06/12/2011, 09:14
Resposta: #9
RE: Ajuda com Scalper Worn - Derrubando conexão
Amigo Consegui solucionar o problema .....

Vou compartilhar com os amigos do fórum caso seja util para alguem , ou passem pelo mesmo problema que tive..

Com base nesse conceito obtido na internet :

"O worm pode então compilar a si mesmo usando um compilador locais, tais como gcc. O binário resultante é então iniciado a partir do diretório / tmp e escuta em uma das portas UDP para receber mais instruções para lançar uma negação de serviço distribuída (DDoS). Ataques DDoS TCP criar inundações que podem tornar os sistemas inoperantes. Certas variantes do Slapper pode escanear uma rede inteira de classe B, em busca de servidores vulneráveis Apache."

Acabei realizando os seguinte procedimentos ...

Verifiquei que no diretório "/tmp" o usuario jboss ( criado na instalação do jboss ) , possui permissões de escrita, o arquivo ".a" que sempre era criado, era criado pelo usuario jboss. Então removi as permisões dele no "/tmp" , e depois de um dia de testes, verifiquei que o problema com as quedas do link não mais ocorreram .. porem o jboss parou de funcionar ..

Fiz nova checagem com o clamav e la estava novamente os arquivos infectados na pasta do jboss...

Optei por remover totalmente o jboss e fazer uma instalaçao do zero, criei senhas fortes para o jmx-console , e depois disso rodei o rkhunter e para minha feliz surpreza ..

Checking `scalper'... [not found]

recoloquei as permissões do usuario jboss no "tmp" e tudo voltou a funcionar perfeitamente ...

Estou acompanhado e fazendo as checagens, e a principio tudo esta normal, sem worms e sem quedas do link

queria agradecer ao amigo pela colaboração e como sou novo por aqui não sei se deve acrescentar algo ainda ja que o problema foi resolvido....
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
08/12/2011, 18:47
Resposta: #10
RE: Ajuda com Scalper Worn - Derrubando conexão
Isso seria um problema do Jboss:

http://eromang.zataz.com/2011/10/25/jbos...n-details/

Seria interessante você remover os compiladores e verificar o crontab dos usuários. Também você pode verificar o processo com o comando lsof:

Código:
lsof -i -n -P
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
12/12/2011, 07:33 (Resposta editada pela última vez em: 12/12/2011 07:34 por mharcelo.)
Resposta: #11
RE: Ajuda com Scalper Worn - Derrubando conexão
Caro amigo spikey, agradeço pela dica , ja consegui resolver o problema.
Desculpe a pergunta boba, mas como faço pra deixar como resolvido o título do tópico ?


Abraço.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
14/12/2011, 11:19
Resposta: #12
RE: Ajuda com Scalper Worn - Derrubando conexão
Opa! Basta clicar em Editar / Edição Completa.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
22/12/2011, 19:28
Resposta: #13
RE: Ajuda com Scalper Worn - Derrubando conexão [RESOLVIDO]
Obrigado amigo.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS