5 Sinais de que seu Servidor Linux foi Invadido

By HelpSysAdminGerenciamento de Servidor, Linux, Segurança

servidor Linux invadido ? Identificar uma intrusão em sistemas Linux requer atenção a detalhes que muitas vezes passam despercebidos por usuários comuns.

1. Processos Estranhos no top ou htop

O sinal mais óbvio costuma ser o uso excessivo de recursos por processos com nomes aleatórios ou que tentam imitar serviços do sistema (como kworker ou syslogd, mas rodando fora de contexto).

  • O que observar: Processos de mineração de cripto ou scripts de ataque DDoS geralmente ocupam 100% da CPU.

2. Chaves SSH Desconhecidas no authorized_keys

Muitos invasores garantem o acesso persistente adicionando sua própria chave pública RSA ao arquivo ~/.ssh/authorized_keys.

  • Como verificar: Verifique o conteúdo desse arquivo em todas as contas de usuário, especialmente na conta root.

3. Modificação de Binários do Sistema

Um invasor avançado pode substituir comandos básicos como ls, ps ou netstat por versões modificadas que escondem arquivos e processos maliciosos.

  • O que observar: Se os comandos parecem omitir informações que você sabe que deveriam estar lá, o sistema pode ter um Rootkit instalado.

4. Conexões de Rede Suspeitas

O Linux mantém um registro de todas as conexões ativas. Se o seu servidor está se comunicando via portas não padrão com IPs estrangeiros, há uma exfiltração de dados em curso.

  • Comando chave: Utilize ss -tunp ou netstat -antp para listar quem está conectado ao seu servidor.

5. Limpeza de Logs (Wiped Logs)

Se você tentar ler o arquivo /var/log/auth.log ou /var/log/secure e ele estiver vazio ou com grandes saltos temporais, alguém apagou os rastros de um acesso não autorizado.

O que fazer agora? (Protocolo de Resposta a Incidentes)

Se você detectou esses sinais, o tempo é o seu maior inimigo. Siga estes passos técnicos:

Passo 1: Bloqueio de Rede Imediato

Não desligue o servidor (para não perder evidências na RAM), mas isole-o.

  • Use o iptables ou ufw para bloquear todo o tráfego de entrada e saída, permitindo apenas o seu IP de administração: sudo ufw allow from [SEU_IP_AQUI] e sudo ufw default deny incoming

Passo 2: Verifique Usuários Logados

Veja quem está no sistema agora e quais foram os últimos logins:

  • Comando: who ou w
  • Comando: last (mostra o histórico de logins recentes)

Passo 3: Identifique a Origem do Mal

Use o comando lsof para ver quais arquivos um processo suspeito está acessando:

  • ls -al /proc/[PID]/exe (onde [PID] é o ID do processo suspeito encontrado no top). Isso mostra onde o binário malicioso está escondido.

Passo 4: Auditoria de Alterações de Arquivos

Verifique arquivos modificados nos últimos 2 dias:

  • find / -mtime -2 -ls

Checklist de Emergência

AçãoComando / FerramentaObjetivo
Listar Conexõesss -atpVer conexões de rede ativas.
Checar Rootkitsrkhunter ou chkrootkitDetectar binários infectados.
Verificar Portasnetstat -lntpVer quais serviços estão “ouvindo”.
Auditoria de Cronls -la /etc/cron.*Buscar scripts agendados pelo hacker.

Atenção: Em casos de invasão confirmada em nível de root, a única solução 100% segura é a reinstalação completa do SO a partir de uma fonte confiável, pois é impossível garantir que não restaram backdoors escondidos.

ataques a servidores não são apenas grandes invasões de Hollywood, mas muitas vezes processos silenciosos que usam seus recursos (CPU, banda) para fins ilícitos.

Os 5 Sinais:

  1. Picos Inexplicáveis de CPU/RAM: Processos desconhecidos consumindo 90% dos recursos.
  2. Lentidão no Envio de E-mails: Seu servidor pode estar sendo usado como relay de SPAM e caiu em blacklists.
  3. Arquivos Modificados ou Novos: Verifique a pasta /tmp ou arquivos .php com datas de modificação recentes.
  4. Atividade de Rede Suspeita: Uso de banda alto durante a madrugada ou conexões para IPs estrangeiros desconhecidos.
  5. Falhas de Login Repetitivas: Logs de sistema (/var/log/auth.log) lotados de tentativas de acesso via SSH.

O Plano de Ação (Checklist):

  • Isole o servidor (se possível).
  • Altere todas as senhas (SSH, Bancos de Dados, Painéis).
  • Verifique as chaves SSH autorizadas (authorized_keys).
  • Restaure um backup limpo (ponto crucial).

Conclusão: “Segurança não é opcional. Se você não tem tempo para monitorar logs diariamente, clique aqui e conheça nosso serviço de Gerenciamento de Servidor Proativo.”