Buen dia.

Hace una semana encontre un malware en un servidor CentOS, me intriga saber como entro asi que, ya hice una imagen del sistema, restableci todo y pues ahora me encuentro en face de investigacion !

Lo curioso es que el server solo tiene 3 puertos abiertos: SSH, FTP y HTTP. Y sobre "vulnerabilidades", pues la unica es que haya tenido el atacante un 0day, porque el server se actualiza todas las madrugadas y se reinicia.

En fin, corriendo la imagen del disco duro en una virtual, noto que cuando elimino el EJECUTABLE de su carpeta, se crea un archivo "automaticamente" que me imagino despues descarga o compila el programa malicioso.

Ahora mi duda es:

**) Existe alguna herramenta para monitorear la creacion de archivos, ya que NO encuentro por ninguna parte "COMO" se crea ese archivo.

Los Logs ya los revise y no encuentro por ninguna parte el arcihvo: may03.tar.bz2", el cual es el archivo que subio de alguna forma el atacante, despues descomprimio y compilo el archivo *.cpp (el cual aun tengo respaldado).

Saludos !