Principal » Foro » Redes » Seguridad

Troyano en mi servidor??? [Solucionado]

Publicado: 3 Marzo, 2010 - 16:49 Troyano en mi servidor??? [Solucionado]

Resulta que hoy me he quedado pasmado.
Han psado una auditoría de red y ha detectado en uno de mis servidores linux un Troyano!...con la consiguiente guasa de los compañeros de trabajo windoseros.
No me preocupa porque no tiene salida al exterior y dudo un poco de que sea cierto, pero lo tengo que investigar.

El troyano en cuestión me dice que es el:
Son of PsychWard(33777)

Escuchando en el puerto 33777 y en otros servers windows en los que lo encontró, efectivamente estaba este troyano.

De hecho si hago un netstat:

# netstat -anp | grep 33777
tcp        0      0 0.0.0.0:33777           0.0.0.0:*               LISTEN      -

Parece que hay algo ahí escuchado, pero no me dice que servicio lo esta corriendo.

Entonces, mis dudas son:
- ¿como puedo saber si es cierto y obtener mas datos sobre el asunto?
- ¿como localizar el proceso?
- ¿como eliminarlo? (si es que existe)

y lo que mas me mosquea...¿como demonios ha llegado hasta ahi?..si lo único que he hecho en este server es un 'aptitude update && aptitude full-upgrade' siempre desde sources oficiales

En mis 10 años con Linux jamás vi tal cosa...

Gracias por vuestra ayuda

Un saludo a todos, que hacía tiempo que no pasaba por aquí...

Publicado: 3 Marzo, 2010 - 16:59 Re: Troyano en mi servidor??? [Solucionado] #1

Según parece Clamav puede detectar si tienes ese troyano.

Publicado: 3 Marzo, 2010 - 17:02 Re: Troyano en mi servidor??? [Solucionado] #2

mmm, clamav también detecta troyanos?.
Pues a pasarlo se ha dicho.
Se admiten apuestas.

Publicado: 3 Marzo, 2010 - 17:09 Re: Troyano en mi servidor??? [Solucionado] #3
Izan escribió:

mmm, clamav también detecta troyanos?.
Pues a pasarlo se ha dicho.
Se admiten apuestas.

Algún windosero resentido y malévolo lo ha instalado mientras tu ibas al baño... devil

Ah, te referías a apuestas de si está infectado o no... mrgreen
Bueno, si solo has instalado desde los repositorios oficiales es muy complicado que te hayas infectado (por no decir imposible). Pero luego te puede pasar que recuerdes que instalaste aquel paquete que bajaste de bla, bla, bla.
Ese troyano (de tenerlo) debe haber conseguido permiso de root para instalarse ¿no? El tema ahora es investigar cómo ha podido ocurrir eso.

P.D. Mira que si no lo tienes... Tus compañeros windoseros estarán rezando para que lo tengas, o estarás tres días dándoles la murga meparto

Publicado: 3 Marzo, 2010 - 17:10 Re: Troyano en mi servidor??? [Solucionado] #4

#lsof -iTCP -sTCP:LISTEN |grep 3377

Veamos si te da más información sobre el programa

Publicado: 3 Marzo, 2010 - 20:15 Re: Troyano en mi servidor??? [Solucionado] #5

Quizás no está 'infectado' el equipo, sino que alguna aplicación distinta ha abierto ese puerto en espera de conexiones. Quizás el antivirus detectó ese puerto abierto y automáticamente ha asumido que tienes una infección.

Con la sugerencia de pvaldes podrás ver archivos están abiertos y qué puertos tienen abiertos.

Saludos,
Sidd.

EDITO:

yo le agregaría el parámetro -P para que no se muestren los nombres de los servicios en los puertos sino el número de puerto, es decir, que no se muestre www sino 80:

# lsof -P -iTCP -sTCP:LISTEN | grep :33777

Saludos,
Sidd.

Publicado: 8 Marzo, 2010 - 12:30 Re: Troyano en mi servidor??? [Solucionado] #6

Buenas.
Hoya ya he efectuado las pruebas. Os comento...

ClamAV no detecta ningún fichero infectado:

----------- SCAN SUMMARY -----------
Known viruses: 726063
Engine version: 0.95.3
Scanned directories: 11548
Scanned files: 74883
Infected files: 0
Data scanned: 15086.18 MB
Data read: 98767.96 MB (ratio 0.15:1)
Time: 4138.441 sec (68 m 58 s)

Si hago un:

# lsof -i -nP | grep 33777

no me sale nada en absoluto

Sin embargo si hago un:

# netstat -anp | grep 33777
tcp        0      0 0.0.0.0:33777           0.0.0.0:*               LISTEN      -

parece que hay algo ahí...

Entonces, hasta que punto me debería preocupar?
Alguna forma de investigar un poco mas?.

Saludos

Publicado: 8 Marzo, 2010 - 13:27 Re: Troyano en mi servidor??? [Solucionado] #7

Si te quieres quedar más tranquilo echale un cerrojo al puerto

iptables -A INPUT -p tcp --dport 33777 -j DROP
iptables -A FORWARD -p tcp --dport 33777 -j DROP
iptables -A OUTPUT-p tcp --dport 33777 -j DROP

Publicado: 8 Marzo, 2010 - 13:35 Re: Troyano en mi servidor??? [Solucionado] #8

que te dice:

# rpcinfo -p | grep 33777
Publicado: 8 Marzo, 2010 - 13:55 Re: Troyano en mi servidor??? [Solucionado] #9

Me dice:

    100021    1   tcp  33777  nlockmgr
    100021    3   tcp  33777  nlockmgr
    100021    4   tcp  33777  nlockmgr

mmm...y mirando por ahí veo que está relacionado con NFS, el cual SI tengo instalado (como cliente).

http://www.iss.net/security_center/reference/vuln/nlockmgr.htm escribió:

The RPC nlockmgr service has been detected as running. The nlockmgr is part of the file locking manager system for NFS. It forwards local file locking requests to the lock manager on the server system. The nlockmgr service registers with the RPC portmapper as program 100021.

Quizás nfs-common este usando este puerto para algo...

Publicado: 8 Marzo, 2010 - 14:37 Re: Troyano en mi servidor??? [Solucionado] #10

Parece ser una situación común.

Claro, nunca me paso a mi pero viendo por ahi parece que nfs suele presentar este comportamiento.

Al ser nfs un servicio del kernel directamente, este no cuenta con un PID ni un ejecutable y por eso lsof no lo puede detectar y netstat solo muestra un -.

En tu caso parece solo mala suerte ya que, segun he leido, mientras que nfs se pone a la escucha siempre en el mismo puerto (2049) parece que nlockmgr se pone a la escucha en cualquiera y se dio la casualidad que el puerto 33777 es el comúnmente utilizado por un virus conocido.

En fin, si fuera necesario nlockmgr se debe poder desactivar aunque ignoro como... seguramente sea un módulo del kernel.

123siguiente ›última »