サーバー(FreeBSD 9.1-RELEASE)が2013年4月はじめの時点でウィルス zeu.txt に感染したことが判明した。zeu.txt は下記のような perlスクリプトで、某ユーザーディレクトリのルートに置いてあった。
#!/usr/bin/perl # ShellBOT # 0ldW0lf - oldwolf@atrix-team.org # - www.atrix-team.org # Stealth ShellBot Versгo 0.2 by Thiago X # Feito para ser usado em grandes redes de IRC sem IRCOP enchendo o saco :) # Mudanзas: # - O Bot pega o nick/ident/name em uma URL e entra no IRC disfarзado :); # - O Bot agora responde PINGs; # - Vocк pode definir o prefixo dos comandos nas configuraзхes; # - Agora o Bot procurar pelo processo do apache para rodar como o apache :D; # Comenzi: # - @udp; # - @fullportscan ; # - !quit; # - !join e !part ; # - !op !deop !voice !devoice ; # - !msg !ctcp 1 2; # - !invite ; # - !nick ; # - !rnick; # - !raw 1; (以下略)
発見のきっかけは、サーバーのハードディスクがやたら動き続けていたことに気づいたことである。topコマンドで見ると見たこともないプロセスが並び、CPUパワーを75%程度常時食いつぶしていた。
このファイルが置いてあったディレクトリは、臨時に作られたもので、パスワードが非常に簡単なものであった。したがってパスワードを破られたのかもしれないが、はっきりしない。
現時点ではググっても zeu.txt に関する情報は見当たらない。ほかのファイル名では以前からばらまかれているのかもしれない。
このファイルはユーザーディレクトリごと削除した。また、/etc/rc.conf に設定した覚えのない行があった。調べたところ、X window system に関する設定であったので、それに関する何かを使用していたのかもしれない。