Recently our back up system has shut-ed down due to Segementation Fault on root rsa key. It's okay, it can be fixed. But after inspection, we have found that suspicious files in our rooted file system.
- /var/log/.log
- /etc/.ip
These two files are hidden and owned by root. It is not just a normal file, but it is a compiled bash file. Below are the results of hexdump:
0000000 457f 464c 0102 0001 0000 0000 0000 0000
0000010 0002 003e 0001 0000 1000 0040 0000 0000
0000020 0040 0000 0000 0000 10e8 0000 0000 0000
0000030 0000 0000 0040 0038 0004 0040 0005 0004
0000040 0001 0000 0004 0000 0000 0000 0000 0000
0000050 0000 0040 0000 0000 0000 0040 0000 0000
0000060 0144 0000 0000 0000 0144 0000 0000 0000
0000070 1000 0000 0000 0000 0001 0000 0005 0000
0000080 1000 0000 0000 0000 1000 0040 0000 0000
0000090 1000 0040 0000 0000 009b 0000 0000 0000
00000a0 009b 0000 0000 0000 1000 0000 0000 0000
00000b0 0004 0000 0004 0000 0120 0000 0000 0000
00000c0 0120 0040 0000 0000 0120 0040 0000 0000
00000d0 0024 0000 0000 0000 0024 0000 0000 0000
00000e0 0004 0000 0000 0000 e551 6474 0006 0000
00000f0 0000 0000 0000 0000 0000 0000 0000 0000
*
0000110 0000 0000 0000 0000 0010 0000 0000 0000
0000120 0004 0000 0014 0000 0003 0000 4e47 0055
0000130 a9aa 7bae 5679 9386 0374 ea00 9193 92c4
0000140 4e1f 110d 0000 0000 0000 0000 0000 0000
0000150 0000 0000 0000 0000 0000 0000 0000 0000
*
0001000 8348 38ec ff31 69b8 0000 0f00 b805 0068
0001010 0000 050f 6ab8 0000 0f00 b805 006b 0000
0001020 050f 0ae8 0000 2f00 6962 2f6e 6162 6873
0001030 8f00 2404 03e8 0000 2d00 0063 448f 0824
0001040 8b48 2444 4848 548b 0824 8b48 2434 3bbf
0001050 0000 4800 4489 2024 c748 2444 0028 0000
0001060 4800 5489 1824 8d48 2454 4810 4a8d 4818
0001070 7489 1024 07e8 0000 3100 48c0 c483 c338
0001080 f889 8948 48f7 d689 8948 0fca c305 f889
0001090 050f 89c3 48f8 f789 050f 47c3 4343 203a
00010a0 4428 6265 6169 206e 2e38 2e33 2d30 2936
00010b0 3820 332e 302e 0000 732e 7368 7274 6174
00010c0 0062 6e2e 746f 2e65 6e67 2e75 7562 6c69
00010d0 2d64 6469 2e00 6574 7478 2e00 6f63 6d6d
00010e0 6e65 0074 0000 0000 0000 0000 0000 0000
00010f0 0000 0000 0000 0000 0000 0000 0000 0000
*
0001120 0000 0000 0000 0000 000b 0000 0007 0000
0001130 0002 0000 0000 0000 0120 0040 0000 0000
0001140 0120 0000 0000 0000 0024 0000 0000 0000
0001150 0000 0000 0000 0000 0004 0000 0000 0000
0001160 0000 0000 0000 0000 001e 0000 0001 0000
0001170 0006 0000 0000 0000 1000 0040 0000 0000
0001180 1000 0000 0000 0000 009b 0000 0000 0000
0001190 0000 0000 0000 0000 0001 0000 0000 0000
00011a0 0000 0000 0000 0000 0024 0000 0001 0000
00011b0 0030 0000 0000 0000 0000 0000 0000 0000
00011c0 109b 0000 0000 0000 001c 0000 0000 0000
00011d0 0000 0000 0000 0000 0001 0000 0000 0000
00011e0 0001 0000 0000 0000 0001 0000 0003 0000
00011f0 0000 0000 0000 0000 0000 0000 0000 0000
0001200 10b7 0000 0000 0000 002d 0000 0000 0000
0001210 0000 0000 0000 0000 0001 0000 0000 0000
*
0001228
I found someone says that it is use to avoid detection from this virus total discussion:
https://www.virustotal.com/gui/file/c9dd336748b4fc2ab4bac2cb5a4690e13e03eb64d51cd000584e6da253145d11/community
But it is not marked as a suspicious or virus file, maybe not yet. Does anyone knows about this? Is this harmful?
Obviously the file owned by root and be in the rooted file system.
I send these two file to our inspection server and try run below command:
chmod +x ./.ip
./.ip
The results is:
/bin/bash: -c: option requires an argument
Our server runs WHMCS and CPanel on CloudLinux OS (CentOS)
question from:
https://stackoverflow.com/questions/65839645/suspicious-file-in-cpanel-var-log-log-and-etc-ip 与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…
