A contaminação ocorre da seguinte forma:
O rootkit escreve na crontab a execução do binário /bin/f, e começa a fazer o estrago. O principal arquivo é o "f". Este é adicionado no diretório /bin sem possibilidade de remoção pelo root.
Ele faz tentativas de conexão a outros servidores usando senhas em arquivos de dicionários.
/bin/f cria arquivos texto com dados para fazer as conexões e upload deste arquivo
/bin/cp /usr/sbin/t.txt unsort.txt && sort -u unsort.txt > /usr/sbin/t.txt && /bin/rm unsort.txt
Também traz o arquivo binário /bin/i e o arquivo /usr/sbin/t.txt.
No crontab aparece a seguinte entrada: * * * * * root f Opyum Team
Solução adotada:
Primeiro passo: remover a proteção do arquivo.
chattr -i /bin/f
chattr -i /bin/i
chattr -i /etc/crontab
Segundo passo: remover os arquivos·
rm -f /bin/f
rm -f /bin/i
rm -f /usr/sbin/t.txt
rm -f /usr/sbin/unsort.txt
Terceiro passo: Remover do cron
vim /etc/crontab
Apague a linha * * * * * root f Opyum Team
Reinicie o cron
Obs: O binário chattr é removido pelo rootkit, faz-se necessário suaa reinstalação.
Fonte: http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
Primeiro passo: remover a proteção do arquivo.
chattr -i /bin/f
chattr -i /bin/i
chattr -i /etc/crontab
Segundo passo: remover os arquivos·
rm -f /bin/f
rm -f /bin/i
rm -f /usr/sbin/t.txt
rm -f /usr/sbin/unsort.txt
Terceiro passo: Remover do cron
vim /etc/crontab
Apague a linha * * * * * root f Opyum Team
Reinicie o cron
Obs: O binário chattr é removido pelo rootkit, faz-se necessário suaa reinstalação.
Fonte: http://granito2.cirp.usp.br/Cursos/Seguranca.em.Unix/curso.seg.unix.html
