Un troià a n’és servidor.

Avui horabaixa m’ha passat una cosa que no m’havia passat mai. Eres devers les 17h quan estava emprant s’ordenador per cercar informació per Internet quan en un moment determinat he vist que sa connexió anava molt lenta. Ràpidament he anat a mirar si, per lo que fos, sa direcció IP s’hagués eliminat o algo, també he mirat es router a veure si s’havia fos o algo xD.

No he notat res raro. Bé, dic, deu ser passatger, he seguit… però no anava gens fí s’Internet fins que ha arribat un punt que ja ni me carregava cap pàgina web. Que raro pens. Torn a mirar es router i me’n don compte que es led de s’activitat va a tota pastilla! No aturava! I dic, però si jo no estic fent res! (i s’ordinador de sa meva germana estava aturat) Només hi havia es meu i es servidor en marxa.

I jo pensant… no pot ser. Tota sa configuració està bé!

Be, bé.. miraré quin tràfic hi ha per sa xarxa. Obre es Wireshark y començ a capturar paquets… però no n’apareix cap quasi cap! Que raro pens. Provaré de connectar-me a n’és servidor a veure que passa per allà. I.. clar, no tenia connexió així que he hagut d’anar a s’habitació d’es servidor físicament. Me connect i lo primer que faig es un “$ w” per veure si hi ha algú més connectat (mai se sap xD) però no, en canvi veig que hi ha una càrrega a sa CPU brutal! així que faig un “$ ps aux” per veure els processos que hi ha en execució. Batua! tot d’una veig que n’hi ha 3 que estan devorant sa CPU i jo… cristo!😀

Es com si m’estigues fent un DoS a jo mateix!!!!😛

Me pos a treure una mica de informació sobre la localització dels programes i resulta que no hi havia cap fitxer on deia que estava sa comanda “ps”. (a sa columna COMMAND hi havia /usr/local/httpd) No pot ser mai, això no me sona de res. No tenia es servidor web Apache en marxa.

Bé, faig un “$ sudo kill -9 `pidof httpd`” i sa CPU torna a sa normalitat. (0.01 de càrrega :D). Hi torna haver xarxa! pareix que sa cosa va bé.

Ara dic… a veure si tenc qualque virus o troià o algo d’això. Bé, com que tenia instal·lat es clamav li faig un escaneig a “/” per veure si troba algo. Passats uns minuts me treu això: Trojan.Perl.Shellbot-2 FOUND i jo allà suant😛

Dic bé, ho posarem a Google a veure que diu. I res, poca cosa. Que pareix que es un troià (escrit en Perl) que se posa dins sa carpeta /tmp i dins /home/$USER que lo que fa es “menjar” CPU a lo bèstia fins que no va bé res.

Elimino els arxius que m’amolla es clamav i tot torna a funcionar de manera normal. Ara hauré d’esbrinar per on ha entrat aquest “bitxo”. Si ha estat per qualque paquet extern o algo així. No crec que estigui a n’és repositoris oficials perquè després, una mica preocupat, també he fet un escaneig a n’és meu ordinador i no ha trobat res😀

Esper que no torni a passar perquè l’emplei bastant a n’és servidor!

Ah, es servidor estava 100% actualitzat.

Quant a vtomasr5
Linuxero

Deixa un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out / Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out / Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out / Canvia )

Google+ photo

Esteu comentant fent servir el compte Google+. Log Out / Canvia )

Connecting to %s

%d bloggers like this: