Publicado inicialmente por
oceano
Hola Jiuston,
Creo que por mucho que busques en los logs no vas a encontrar nada. Algo me dice que tienes el sistema desactualizado, porque no has hecho referencia a un solo post de Kernel, Sistema, Iptables.
Si tienes el sistema desactualizado será complicado que llegues a encontrar algo en los logs, pero no imposible !
Por cierto, Tripwire debes tenerlo instalado antes de analizar y si lo tienes ya, no esperes que te diga lo que tenías hace un mes sin haberlo instalado antes.
Un saludo !
Hola oceano; El sistema esta actualizado, cada servidor esta actualizado
por ejemplo. en el que estoy ahora mismo.
Centos 6.5
kernel 3.10.23-xxxx-grs-ipv6-64
En cuanto a iptables tengo una configuración restrictiva que no se si viene al caso ponerla aqui ni que relación puede tener con la solución al problema que tengo y necesito resolver.
Los otros servidores tiene centos 6..5 actualizados y con iptables similares
He pasado muchas horas con este asunto y leyendo muchas web donde se trata este asunto. No se si tú lo has hecho pero en todos los casos coinciden en algo.
Rkhunter - clamav no sirven de nada !!!
csf ya lo tenia configurado desde el momento que hice la instalación y nunca he tenido problemas
tripwire, no lo tenia instalado y entiendo que no pueda darme información de lo que ha pasado cuando no estaba instalado.. hasta ahi llego sin problemas.
Coincidencia absoluta de todas las web consultadas sobre este virus. Reinstalación sistema y muy importante usar contraseña nueva, no la misma que tenias anteriormente.
Opinión particular mia.... me suena todo muy raro. me explico: vale que los log no me digan mucho... asi todo los revise muy detenidamente. he revisado cada servicio y aplicación que esta corriendo en el sistema, es más.... he dejado el sistema en minimos... he comprobado con otro servidor misma versión sistema operativo y configurandolo exactamente igual... he comprobado cada archivo ( fecha, tamaño bytes ) archivos .cnf .cfg etc de las aplicaciones abiertas o servicios y son exactamente los mismos. No encuentro explicación lógica y ahora mismo es mas cabezoneria por detectar "donde esta el bicho" que por otra cosa... nose.. me suena a "alarma" por defecto del sistema de avisos de OVH...
Si estás interesado echale un vistazo a está web
https://www.hkcert.org/my_url/en/blog/13031201
En micaso si hago ipcs -m
---- Segmentos memoria compartida ----
key shmid propietario perms bytes nattch estado
0x000009e4 0 root 666 3179912 0
y al chequear keyutils library
# rpm -Vv keyutils-libs
......... /lib64/libkeyutils.so.1
......... /lib64/libkeyutils.so.1.3
......... d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
Q si hago caso a esa página mi sistema no esta infectado, pero OVH me informa de 3 servidores con 3 IPfo y todos con el bicho.... raro muy raro
Un cordial saludo y gracias