Creacion de ficheros en /tmp por parte del user www-data

2 envíos / 0 nuevos
Último envío
#1 Vie, 05/01/2018 - 16:54
sebas4944
Imagen de sebas4944
Desconectado/a
se unió: 05/01/18

Creacion de ficheros en /tmp por parte del user www-data

Buenos dias a todos!

Les comento un problema que estoy teniendo. Desde hace un largo tiempo tengo un servidor web con Debian un poco viejo, tiene corriendo Debian 6.0.10 y apache2 version 2.2.16

Este servidor aloja unos 200 Dominios aproximadamente, cada uno con su virtualhost.

Desde hace unos días, empece a sufrir ataques que funcionan de la siguiente manera por lo que puedo ver, desde algún php que esté adentro de alguno de los virtualhost crean archivos dentro del directorio /tmp y desde ahí ejecutan una orden para minar bitcoins.

Lo que no logro identificar es que php es el que está generando los archivos dentro del directorio /tmp

Los nombre de los archivos tienen el formato ffd4a9a9284e18f47f63e6db426acea7

Busque en los logs del apache, incluso puse el LogLevel en modo debug, pero no logro saber cual o cuales son los dominios con vulnerabilidades en sus códigos...

Todos los ficheros que aparecen en la carpeta /tmp/ pertenecen al usuario y grupo www-data.

 

Otra tema, no sabia si publicar esto dentro de la rama de Servicios de Red o en la parte de seguridad, le pido a los administradores que si consideran que este tema deberia estar en otro lado, lo muevan y me disculpen.

 

Saludos a todos! 

Vie, 05/01/2018 - 19:58
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

Por lo que entiendo alguien esta minando con un script en php o javascript o similar y no echando mano a los programas que trae debian para minar. Igualmente yo comprobaría que no tengas instalado ningún programa de esos.
Supongo que en todo caso estarían usando algún script tipo como el que uso the pirate bay para hacer que los usuarios visitantes minaran cripto monedas sin que lo supieran
https://www.hackread.com/the-pirate-bay-caught-running-cryptocurrency-mining-script/
https://www.redeszone.net/2017/09/18/bloquear-minado-criptomonedas-the-pirate-bay/

lo que se me ocurre es que con algun programa trates de ver hacia donde va el trafico de esos bitcoins y bloquees la ip a la que se comunican
https://www.linuxito.com/seguridad/115-como-ver-el-trafico-de-la-red-con-wireshark
https://www.redeszone.net/2013/12/02/monitores-de-red-desde-terminal-para-linux/

puede que sea un tema mas para un foro especializado en administración de sistemas o de mineria de cripto monedas

saludos...