Зловред "neqzwssngr" Ест CPU, нагружает сеть

После killall neqzwssngr , пришел ryguivtttq, за ним rcpxscnrtq.

Стоит ubuntu 12.04 с сайта с ядром http://compizomania.blogspot.com/2014/06/linux-kernel-315-stable-ubuntulinux-mint.html +LAMP.
Тормоза появились сегодня. Вчера поставил DNC 1.3.0rc8. Больше ничего.
http://dnc.ru/forum/viewtopic.php?f=16&t=1162&p=9668#p9668

(0) класс!
троян на бубунте

(1) это провокация, не бывает вирусов и троянов на линуксе.
это все проделки билла

(1) если что, первый троян был написан под уних....

конечно не бывает, во только первые вирусы появились таки под никсами

проверить cron
посмотреть что в bash_history

(5) ок, после работы гляну, это всё на тестовой виртуалке (vdi) творится, ссылку выложу как зальётся

cat /etc |grep cron

/etc/anacrontab
/etc/apm/event.d/anacron
/etc/cron.d
/etc/cron.d/.placeholder
/etc/cron.d/anacron
/etc/cron.daily
/etc/cron.daily/.placeholder
/etc/cron.daily/0anacron
/etc/cron.daily/apt
/etc/cron.daily/aptitude
/etc/cron.daily/bsdmainutils
/etc/cron.daily/cracklib-runtime
/etc/cron.daily/dpkg
/etc/cron.daily/logrotate
/etc/cron.daily/man-db
/etc/cron.daily/mlocate
/etc/cron.daily/passwd
/etc/cron.daily/samba
/etc/cron.daily/upstart
/etc/cron.hourly
/etc/cron.hourly/.placeholder
/etc/cron.monthly
/etc/cron.monthly/.placeholder
/etc/cron.monthly/0anacron
/etc/cron.weekly
/etc/cron.weekly/.placeholder
/etc/cron.weekly/0anacron
/etc/cron.weekly/apt-xapian-index
/etc/cron.weekly/fstrim
/etc/cron.weekly/man-db
/etc/crontab
/etc/default/anacron
/etc/default/cron
/etc/init/anacron.conf
/etc/init/cron.conf
/etc/init.d/anacron
/etc/init.d/cron
/etc/pam.d/cron
/etc/systemd/system/multi-user.target.wants/anacron.service


crontab


17 *    * * *    root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
*/3 * * * * root /etc/cron.hourly/udev.sh


(0) эээ долго прыгал с бубном чтобы этот вирус то скомпилировать? ))

ЗЫ
руткиты и трояны видал, вирусов нет

/etc/cron.hourly/udev.sh  это что

(8) кстати, я компилил под рэдхад, ради интереса какой-то резидентный вир :) давно правда было, и не с первого раза получилось скомпилить
трояны интересней :)

(9)
udev.sh
[/CODE]
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp /lib/libgcc4.so /lib/libgcc4.4.so
/lib/libgcc4.4.so
[/CODE]

https://yadi.sk/d/vfRHSS9WeJ44F -- образ системы 1.3Г

(11) http://superuser.com/questions/863997/ddos-virus-infection-as-a-unix-service-on-a-debian-8-vm-webserver оно?

(12) похож по описанию
Можно ли предположить способ проникновения, дырка в вебсервере?

ахахахаха, бедные красноглазики...

(13) может, но скорее руткит или )) дырка в пароле на root

(15)+ т.е. как у меня вышло когда систему тестовую на ночь оставил с дотупом по ssh (на роутере проброску сделал чтоб из дома поковырять), пароль был слишком простой (типа 123)

утром прихожу и не могу понять что с сеткой творится тормоза, стал смотреть кто )) мля китайцы (судя по ip) мой тестовый сервак превратили в проксю ))

(15) вроде не ставил софт и в нете не сидел из-под него, ссш руту запрещен, остальное пока за горизонтами моего познания, а пароль у рута просто 1, да)

(17) гыгы

это как бы локальный вебсервер без пробросов портов и прочих коммуникаций, для сбора инфы о заказах, но урок усвоен

настоящим адом для меня был шлюз на фрибсд в первый месяц работы админом: платный трафик и ддос на 1т.р. за полдня накручивал по белому ИП

(19) скорее всего в сетке у вас ботнет сидит где то

(16) это все крамола, линух хакероустойчив сам по себе

(21) дома 2,5 компа.. не думаю

(23) в продакшен еще не ставил

(22) Чтож у тебя так полыхает то?

ха! линух это круто!

берите разбег побольше перед прыжком ж.пой на кактус, ыыы

(26) Давай рассказывай уже где как прыгал, народ в (25) стесняется спросить

(26) Тебя линуксойды в переулке книжками по bash'у избили?

(27) не, я то из зрителей

(28) а книжки по башу толстые? а то неуверен что прыщавые задроты смогуть ей хотябы размахивать, не то что драться

(30) времена меняются https://www.facebook.com/video.php?v=10153501180651564

(31) че там, ужель двухтомник?

(33) наша производственная гимнастика

оно? http://habrahabr.ru/post/248933/

(34) ага

"wholeman27 января 2015 в 12:06#
Инфицирование начинается с попытки брут-форса SSH, используя логин root.
Суровый «троян»."

(34) на (12) смахивает, селится в /bin и /usr/bin , умел бы дебаггером - сказал бы наверняка, образ лежит в (11)

(35) наиболее вероятный способ, судя по сетевой активности, но как через NAT пролез?

(36) да точно он

"Несколько дней назад наблюдался новый 32-битный вариант данного трояна с некоторыми изменениями. Бот устанавливается как /lib/libgcc4.so файл и уникальный файл, содержащий идентификационную строку в /var/run/udev.pid, скрипт инициализации был в /etc/cron.hourly/udev.sh и функции руткита были полностью опущены. Наличие всех этих файлов может служить индикатором компрометирования."

(37) с вин машины? или роутер у тя уже тоже крякнут...

(37) http://www.opennet.ru/opennews/art.shtml?num=41549

свеженькое, не почтовый сервак ли?

(40) проверил роутер - ссш проброшен, вопрос снимается)

(39) на вин машинах чисто

(41) дык ))

пока совет старейшин не разошелся: может роутер с нормальным паролем открыть проброс порта по команде извне?

(16) > пароль был слишком простой (типа 123)

надо было хотя бы 321 поставить. )

(44) у д-линков были дыры, могут и у других быть

(46)+ http://habrahabr.ru/post/168683/

(46) спасибо, мирное время перестаёт быть спокойным)
(45) имхается средней сложности пароль можно сбрутить за неделю-две усилиями современного ботнета

Оставлю тут на всякий случай
http://habrahabr.ru/post/88461/

[code]
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
[/code]

логин админа ещё должен быть не root и не admin

(48) если поглядеть в логи сервака голой *опой торчащего в интернет, его постоянно брутят и сканируют всякие боты

проще всего port knocking на открытие ssh поставить

ну, или авторизацию по ключам

(52)(53) угу с отсылкой сообщения смс на телефона админа ))