# Problemas con reinicio de servicios

## RazaRecords

Hola a toda la comunidad tengo un problema que me esta sacando canas verdes y no se como solucionarlo. De un momento a otro no se como cuando reinicio algún servicio mediante el /etc/init.d/ no se da me sale un error como es el caso del servicio apache:

 *Quote:*   

> PlanVital ~ # /etc/init.d/apache2 restart
> 
>  * Caching service dependencies ...
> 
> head: cannot open `/tmp/.cr' for reading: No such file or directory
> ...

 

Y luego de eso en los log de  *Quote:*   

> /var/log/messages

  me sale esto

 *Quote:*   

> Oct 28 16:46:23 PlanVital crontab[14136]: (root) REPLACE (root)
> 
> Oct 28 16:46:23 PlanVital crontab[14160]: (root) LIST (root)
> 
> Oct 28 16:46:23 PlanVital crontab[14168]: (root) REPLACE (root)
> ...

 

Y dentro del crontab -e me aparece esto repetidas veces

 *Quote:*   

> # DO NOT EDIT THIS FILE - edit the master and reinstall.
> 
> # (/tmp/.crr installed on Tue Oct 28 16:51:19 2014)
> 
> # (Cron version V5.0 -- $Id: crontab.c,v 1.12 2004/01/23 18:56:42 vixie Exp $)

 

No se que a pasado estoy preocupado porque ningún servicio puedo reiniciar y no se que mas hacer, su ayuda por favor. Desde ya gracias.

Saludos

----------

## quilosaq

Puede que esté equivocado pero veo coincidencias con este caso de infección  por troyano:

http://geekdomain.wordpress.com/2007/08/25/learn-linux-hacking-and-how-to-counter-them/

Antes de hacer nada, espera a ver si hay mas opiniones.

----------

## esteban_conde

Si tienes instalado y activado systemd los servicios se manejan con systemctl.

----------

## RazaRecords

 *quilosaq wrote:*   

> Puede que esté equivocado pero veo coincidencias con este caso de infección  por troyano:
> 
> http://geekdomain.wordpress.com/2007/08/25/learn-linux-hacking-and-how-to-counter-them/
> 
> Antes de hacer nada, espera a ver si hay mas opiniones.

 

Estube leyendo el post que me enviste y si parece que fuera un troyano o un ataque a mi servidor, encontre un bash ejecutandose que llamada "/bin/ttyload" y contenia esto

 *Quote:*   

> #!/bin/sh
> 
> crontab -l | grep -vi "/usr/lib/httpds" > /tmp/.cr
> 
> _PNR=`wc -l < /tmp/.cr`
> ...

 

Al final no pude hacerlo yo, tuve que pasar el problema al area de investigaciones de mi trabajo jeje

Pero fue de mucha ayuda tu post pude encontrar el porque me pasaba esto y ademas esto ocurrio un dia despues de que le habilite el acceso FTP a unos proovedores externos que manejan una pagina web alojada en ese servidor... algo deben haber hecho... 

Si se logra solucionar posteo que se se hizo en el servidor, quizas a alguien le pueda ser de ayuda

Saludos

----------

## esteban_conde

Pues he copiado el código que pones en un archivo que he nombrado troyano.sh, ya ves que soy original, aunque puede que no te sirva de mucho te envío el resultado de ejecutarlo.

Como user sin permisos ni sudo resulta lo más lógico--> permiso denegado y como root:

 *root wrote:*   

> localhost cron # /home/esteban/troyano.sh
> 
> no crontab for root
> 
> 

 

Me imagino que a ti te puede afectar más si tienes programado alguna tarea como root.

Te sugiero si quieres aprender que en un ordenador fuera del alcance de tu red ejecutes el código y vayas sacando el ovillo, es que si culpas a quien sea sin conocimiento de causa puedes hacer el ridículo y además perjudicar a un tercero sin haber solucionado el problema.

EDITO:

En una segunda lectura a tu primer post veo: *Quote:*   

> PlanVital ~ # /etc/init.d/apache2 restart
> 
> * Caching service dependencies ...
> 
> head: cannot open `/tmp/.cr' for reading: No such file or directory 

 

Interpreto que o bien el troyano (si es un troyano) está metido en en el ejcutable de apache2 ya que intenta leer un archivo oculto /tmp/.cr que es precisamente un archivo que deberia crear troyano.sh =  "ttyload" al ejecutarse y esto nos lleva a la posibilidad de que ttyload sea un archivo que venga con la instalación de apache2, en tu caso haría un:

"equery f apache2" a ver si sale ttyload por ahí.

----------

