O log do Apache tem coisas que não reconheço que parecem perigosas

tag-icon tag-icon apache-http-server
O log do Apache tem coisas que não reconheço que parecem perigosas

O host do meu site desativou minha conta depois que excedi minha largura de banda. Isso foi estranho, já que o site é pequeno. Comecei a examinar os logs e, embora esteja acostumado a ver tentativas de encontrar endpoints comuns que não tenho, vi algumas coisas que eram muito preocupantes. Primeiro:

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                             Dload  Upload   Total   Spent    Left  Speed
0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 77597  100 77597    0     0   184k      0 --:--:-- --:--:-- --:--:--  246k
--2019-10-13 11:49:21--  ftp://matei:*password*@tyger.ignorelist.com/tst.tgz
       => `tst.tgz'
Resolving tyger.ignorelist.com... 86.121.73.246
Connecting to tyger.ignorelist.com|86.121.73.246|:21... connected.
Logging in as matei ... Logged in!
==> SYST ... done.    ==> PWD ... done.
==> TYPE I ... done.  ==> CWD not needed.
==> SIZE tst.tgz ... 21765
==> PASV ... done.    ==> RETR tst.tgz ... done.

 0K .......... .......... .                                53.3K=0.4s

2019-10-13 11:49:23 (53.3 KB/s) - `tst.tgz' saved [21765]

e

Eu nunca vi essas coisas. Acho que fui dominado de alguma forma. Como faço para corrigir isso?

curl: (7) couldn't connect to host

curl: (7) couldn't connect to host
Can't open perl script "bot.pl": No such file or directory
Can't open perl script "bot.pl": No such file or directory
sh: GET: command not found
sh: GET: command not found
--2019-10-15 22:14:04--  ftp://94.177.240.65/bot.pl
       => `bot.pl'
Connecting to 94.177.240.65:21... --2019-10-15 22:14:04--  
ftp://94.177.240.65/bot.pl
       => `bot.pl'
Connecting to 94.177.240.65:21... failed: Connection refused.
failed: Connection refused.

Responder1

Parece que sua máquina Linux foi comprometida pelo serviço Apache.

Como faço para corrigir isso?

Não existe uma solução simples, pois você precisa investigar todo o seu sistema em busca de possíveis violações.

Aqui estão algumas sugestões gerais:

  • Atualize o Apache para sua versão mais recente (via apt-get).
  • Atualize todos os seus pacotes ( sudo apt-get update).
  • Atualize todos os seus CMS/frameworks da web que estão em uso (verifique se há vulnerabilidades conhecidas).
  • Faça uma varredura em todo o seu sistema em busca de vulnerabilidades existentes (por exemplo, scanners de malware, antivírus).
  • Faça uma varredura em todos os seus sites em busca de malwares e arquivos shellcode.

  • Se você estiver usando PHP:

  • Se você estiver usando hospedagem compartilhada, entre em contato com a empresa de hospedagem.
  • Verifique seu sistema em busca de usuários extras inesperados ( /etc/users) ou arquivos (por exemplo, em /tmp).

  • Se você confirmou a violação:

    • Altere todas as credenciais expostas (chaves de acesso, senhas, etc.).
    • Salve todas as evidências caso precise delas (endereços IP, logs, arquivos infectados/malware).
  • Depois de corrigir seus sistemas, continue monitorando seus registros em busca de qualquer outra atividade suspeita.

Se você não estiver confiante com o acima, entre em contato com a empresa de TI especializada nisso.

Veja também:

informação relacionada