Meu sistema linux pegou vírus, como isso e o que fazer?

[Dilacrius]

Olá pessoal do fórum, gostaria de um auxilio nessa questão.

Tenho um sistema linux distro centOs na minha empresa rodando um programa de terceiros. Recentemente, ele foi para manutenção depois de uma chuva forte que teve na região e não iniciava mais o sistema, no fim das contas, eles salvaram meu banco e formataram a maquina, colocando de volta na minha loja na segunda feira. Terça feira constatamos uma lentidão descomunal durante as operações e entramos em contato com o fornecedor do programa. Na quarta feira, o fornecedor do programa foi até minha loja e depois de muito tempo quebrando a cabeça constatou que meu servidor tinha sido infectado por um vírus que consumia mais de 70% do uso da CPU e Memória na máquina, transformando-a em uma maquina zumbie. 

 

No final das contas, arranjei uma máquina nova para eles colocarem o centOs novamente com o programa deles e estou utilizando essa que, as vezes, acaba ficando super lenta e eles disseram que só amanhã para recolocarem o servidor, e mesmo assim, eu vou ficar responsável por analisar toda a estrutura de rede da minha empresa para verificar se o vírus está ou não na rede. 

 

Serio mesmo que linux pega vírus? Se ele pegou, seria culpa do que? Minha rede? Mesmo se existisse um vírus na rede, ele não precisaria da senha do root para ser instalado? Toda essa historia está muito confusa para mim e eu estou realmente pensando que isso é tudo uma desculpa da empresa que eu contratei para ganhar mais tempo e resolver os problemas. Alguém para iluminar minhas duvidas?

[Alexandre Lins]

 Olha tem uma coisa estranha nessa historia, para Linux pegar virus é quse impossivel, 98% de chance que alguem quer enrolar você , fique alerta, mas cinceramente o centOs é ruim, melhor trocar pelo Linux Mint 17.3 todos PCS DAÍ

[Black Fox]

-> há algum relatório informando/comprovando a suposta infecção....?

 

Há "pontos" com Windows na rede ou somente Linux ?

 

Há alguns Malwares para Linux., mas a infecção somente ocorre por desleixo e falta de conhecimento - A maioria são testes de laboratório e muitos não resistem as atualizações do sistema....

 

abaixo temos uma pequena exceção., mas com certeza toda comunidade já deve está trabalhando para fechar a brecha.

 

-> https://sempreupdate.com.br/cuidado-malware-crossrat-indetectavel-visa-sistemas-windows-macos-e-linux/

 

 

[Dilacrius]

@Alexandre Lins Eu até trocaria a distro por mim mesmo, mas são eles que fazem a manutenção e instalação quando necessário, mas obrigado pelo comentário. Também acho essa historia do sistema muito estranha, principalmente por que não foi 1 dia que ele voltou da manutenção que deu esse problema, é coincidência demais pra ser verdade. 

Quando eu abro o linux e digito os comandos para ver o que está sendo executado, realmente aparece um processo estranho consumindo 70% do pc, ao tentar fecha-lo, ele reabre com outro nome, um mais estranho com o outro, então de fato deve ter pegado vírus, mas duvido muito que tenha sido em minha rede. 

Sequer tenho a senha do root pra fazer alterações no sistema.

[Alexandre Lins]

Dilacrius Um Abraço de amigo tchau

[Dilacrius]

@Black Fox Ele realmente está infectado, ou melhor, realmente tem um processo consumindo o sistema, pelo comando Top consigo visualiza-lo.

Sobre os pontos windows, realmente existem na rede, mas não creio que possa ter sido isso, como eu disse, é muita coincidência ele ter voltado da manutenção em um dia e no outro ter sido constatado esse problema. 

[Alexandre Lins]

Pode ser considerado um vírus mais não suposta que alguem pode ter criado para consumir mais o Hadware?

adicionado 4 minutos depois

CTRL ESC, min fale todos programas que consome mais o Hadware para eu tirar uma Duvida

[Dilacrius]

13 minutos atrás, Alexandre Lins disse:

Pode ser considerado um vírus mais não suposta que alguem pode ter criado para consumir mais o Hadware?

adicionado 4 minutos depois

CTRL ESC, min fale todos programas que consome mais o Hadware para eu tirar uma Duvida

Não entendi sua pergunta. Ele é um programa estranho que o pessoal que fez a instalação do meu servidor não colocaram e ao acessar as configurações do servidor, é possível ver que ele ta comendo todo o processamento da maquina. Não sei qual o intuito do vírus, só sei que ele está me ferrando rs

[Alexandre Lins]

No seu teclado aperte ctrl + esc no CentOs vai parecer uma tela com os programas que esta consumindo seu PC, clique nesse "virus" e clique em Finalizar processo - Creio que isso já resolve não sei rss

[Marcos FRM]

Com as informações passadas é impossível até mesmo chutar.

 

Qual versão do CentOS? Está atualizado? Quais serviços rodam nesse servidor? Quais portas ficam expostas? Está conectado diretamente à internet? Está sendo utilizado algum firewall? Qual? Está bem configurado? SELinux está ativo? Existe alguma política local personalizada? Usa SSH com autenticação por chave pública ou senha? Caso algum serviço fique exposto à internet, está configurado adequadamente seguindo boas práticas de segurança? Roda um daemon para bloquear falhas de autenticação (tipo fail2ban)?

[Dilacrius]

@Alexandre Lins  não consegui acessar essa janela com esse comando, porém, quando eu tento matar o processo pelo terminar ele acaba voltando com outro nome alguns segundos depois. 

Os nomes que ele fica são mais ou menos assim;  uvczsgcbrgzig, khayppoacss, etc.

Os PIDs dele também são altos, algo em torno de 20000.

 

adicionado 14 minutos depois

14 minutos atrás, Marcos FRM disse:

Com as informações passadas é impossível até mesmo chutar.

 

Qual versão do CentOS? Está atualizado? Quais serviços rodam nesse servidor? Quais portas ficam expostas? Está conectado diretamente à internet? Está sendo utilizado algum firewall? Qual? Está bem configurado? SELinux está ativo? Existe alguma política local personalizada? Usa SSH com autenticação por chave pública ou senha? Caso algum serviço fique exposto à internet, está configurado adequadamente seguindo boas práticas de segurança? Roda um daemon para bloquear falhas de autenticação (tipo fail2ban)?

 

Pesquisei as informações para poder te pasar..

Versão do centOs: 6.9 ( Já tem a versão 7.4, por que eles não usam? Não sei)

Quais serviços rodam: Apenas o programa deles que funciona na minha empresa, é um programa de vendas integrado com nota fiscal e vendas no caixa. 

Quais portas ficam expostas: Diretamente para ele tem a porta 8080 para acesso remoto com as diretrizes do programa deles. Mas a conexão é com senha e nem mesmo eu tenho acesso  a isso. 

Está conectado diretamente a internet: Sim.

SSH: Possivelmente sim, vi os técnicos deles utilizando o Putty para conexão. 

Bem configurado/SELinux/Praticas de segurança/Daemon: Quem poderia informar isso são só eles.

 

[Marcos FRM]

A versão 6 ainda é mantida; portanto, não há urgente necessidade de migrar para a 7. Basta que seja mantida atualizada (yum -y update é obrigatório!).

 

Qualquer servidor que fique exposto à internet precisa ser bem configurado. Considerando que esse programa proprietário deles não seja o responsável, e que o servidor SSH fique exposto à internet, a primeira providência na minha opinião é acabar com uso de senha para acesso via SSH, adotando apenas autenticação por chave pública. No Google existe uma infinidade de tutoriais ensinando como fazer. Depois, fazer um pente fino no firewall e serviços ativos para ter absoluta certeza que apenas o necessário fique rodando.

[Henrique - RJ]

@Dilacrius

 

Instala o ClamAV e faz uma varredura pra ver se ele localiza esse vírus

[Dilacrius]

10 minutos atrás, Henrique - RJ disse:

@Dilacrius

 

Instala o ClamAV e faz uma varredura pra ver se ele localiza esse vírus

Obrigado pela dica, mas eu não tenho acesso a senha do root pra eu mesmo passar ele no servidor. O complicado é depender da boa vontade desses caras pra resolver meu problema. Se eles não trouxerem o novo logo, vou tentar dar um jeito por conta própria. 

[Henrique - RJ]

@Dilacrius

 

Você pode por o HD desse servidor em um PC com Linux e antivírus instalado e fazer a varredura.

 

Pode também tentar com um live-CD ( Rescue Disk ) de um antivírus como o a Kaspersky carregando-o no boot, atualizando sua base de assinaturas e fazendo o escaneamento.

 

.

[Dilacrius]

[Resolvido]

Eu não ia mexer no servidor mais, porém, encontrei uma distro do DrWeb enquanto estava procurando um linux levinho para subir no meu hirens. Coloquei ele no servidor e dei boot, atualizei as vacinas e mandei escanear o hd do servidor. Achou 6 vírus rapidamente, coloquei todos em quarentena e reiniciei a maquina. Infelizmente, não tirei print da tela do DrWeb com o nome dos vírus, mas pretendo mandar eles para analise nessa empresa. Depois de 3 dias sem sistema e quase uma semana tendo problemas, o melhor foi eu mesmo resolver do que depender dos outros. 

 

Meu servidor está funcionando a umas horas e sempre estou verificando o log dele, sem presença de vírus até então. 

 

Para quem tiver tendo problemas, segue o DrWeb:

https://free.drweb.com/aid_admin/

[Marcos FRM]

Sem descobrir como esses vírus foram parar nele, nada está resolvido. 

[Dilacrius]

1 minuto atrás, Marcos FRM disse:

Sem descobrir como esses vírus foram parar nele, nada está resolvido. 

Isso já é outra historia, quem tem que ver isso são os fornecedores do programa. Mas tenho quase certeza que foi noobice de algum deles.