|
Зловред "neqzwssngr" под Убунтой. Как он туда попал? (слайды) | ☑ | ||
---|---|---|---|---|
0
AlteZ
28.01.15
✎
09:29
|
Зловред "neqzwssngr" Ест CPU, нагружает сеть
После killall neqzwssngr , пришел ryguivtttq, за ним rcpxscnrtq. Стоит ubuntu 12.04 с сайта с ядром http://compizomania.blogspot.com/2014/06/linux-kernel-315-stable-ubuntulinux-mint.html +LAMP. Тормоза появились сегодня. Вчера поставил DNC 1.3.0rc8. Больше ничего. http://dnc.ru/forum/viewtopic.php?f=16&t=1162&p=9668#p9668 |
|||
1
Психотерапевта Вызыва
28.01.15
✎
10:06
|
(0) класс!
троян на бубунте |
|||
2
kortun
28.01.15
✎
10:09
|
(1) это провокация, не бывает вирусов и троянов на линуксе.
это все проделки билла |
|||
3
wanderer_ица
28.01.15
✎
10:10
|
(1) если что, первый троян был написан под уних....
|
|||
4
IUnknown
28.01.15
✎
10:10
|
конечно не бывает, во только первые вирусы появились таки под никсами
|
|||
5
ASV
28.01.15
✎
10:12
|
проверить cron
посмотреть что в bash_history |
|||
6
AlteZ
28.01.15
✎
10:19
|
(5) ок, после работы гляну, это всё на тестовой виртуалке (vdi) творится, ссылку выложу как зальётся
|
|||
7
AlteZ
28.01.15
✎
10:48
|
cat /etc |grep cron
crontab
|
|||
8
Garykom
гуру
28.01.15
✎
11:01
|
(0) эээ долго прыгал с бубном чтобы этот вирус то скомпилировать? ))
ЗЫ руткиты и трояны видал, вирусов нет |
|||
9
ASV
28.01.15
✎
11:04
|
/etc/cron.hourly/udev.sh это что
|
|||
10
Exec
28.01.15
✎
11:54
|
(8) кстати, я компилил под рэдхад, ради интереса какой-то резидентный вир :) давно правда было, и не с первого раза получилось скомпилить
трояны интересней :) |
|||
11
AlteZ
28.01.15
✎
15:40
|
(9)
udev.sh [/CODE] #!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin cp /lib/libgcc4.so /lib/libgcc4.4.so /lib/libgcc4.4.so [/CODE] https://yadi.sk/d/vfRHSS9WeJ44F -- образ системы 1.3Г |
|||
12
Garykom
гуру
28.01.15
✎
15:45
|
||||
13
AlteZ
28.01.15
✎
16:01
|
(12) похож по описанию
Можно ли предположить способ проникновения, дырка в вебсервере? |
|||
14
Vovan1975
28.01.15
✎
16:03
|
ахахахаха, бедные красноглазики...
|
|||
15
Garykom
гуру
28.01.15
✎
16:09
|
(13) может, но скорее руткит или )) дырка в пароле на root
|
|||
16
Garykom
гуру
28.01.15
✎
16:12
|
(15)+ т.е. как у меня вышло когда систему тестовую на ночь оставил с дотупом по ssh (на роутере проброску сделал чтоб из дома поковырять), пароль был слишком простой (типа 123)
утром прихожу и не могу понять что с сеткой творится тормоза, стал смотреть кто )) мля китайцы (судя по ip) мой тестовый сервак превратили в проксю )) |
|||
17
AlteZ
28.01.15
✎
16:13
|
(15) вроде не ставил софт и в нете не сидел из-под него, ссш руту запрещен, остальное пока за горизонтами моего познания, а пароль у рута просто 1, да)
|
|||
18
Garykom
гуру
28.01.15
✎
16:13
|
(17) гыгы
|
|||
19
AlteZ
28.01.15
✎
16:14
|
это как бы локальный вебсервер без пробросов портов и прочих коммуникаций, для сбора инфы о заказах, но урок усвоен
|
|||
20
AlteZ
28.01.15
✎
16:16
|
настоящим адом для меня был шлюз на фрибсд в первый месяц работы админом: платный трафик и ддос на 1т.р. за полдня накручивал по белому ИП
|
|||
21
Garykom
гуру
28.01.15
✎
16:16
|
(19) скорее всего в сетке у вас ботнет сидит где то
|
|||
22
Vovan1975
28.01.15
✎
16:16
|
(16) это все крамола, линух хакероустойчив сам по себе
|
|||
23
AlteZ
28.01.15
✎
16:17
|
(21) дома 2,5 компа.. не думаю
|
|||
24
AlteZ
28.01.15
✎
16:17
|
(23) в продакшен еще не ставил
|
|||
25
polosov
28.01.15
✎
16:20
|
(22) Чтож у тебя так полыхает то?
|
|||
26
Vovan1975
28.01.15
✎
16:26
|
ха! линух это круто!
берите разбег побольше перед прыжком ж.пой на кактус, ыыы |
|||
27
AlteZ
28.01.15
✎
16:35
|
(26) Давай рассказывай уже где как прыгал, народ в (25) стесняется спросить
|
|||
28
polosov
28.01.15
✎
16:38
|
(26) Тебя линуксойды в переулке книжками по bash'у избили?
|
|||
29
Vovan1975
28.01.15
✎
16:50
|
(27) не, я то из зрителей
|
|||
30
Vovan1975
28.01.15
✎
16:51
|
(28) а книжки по башу толстые? а то неуверен что прыщавые задроты смогуть ей хотябы размахивать, не то что драться
|
|||
31
AlteZ
28.01.15
✎
16:56
|
(30) времена меняются https://www.facebook.com/video.php?v=10153501180651564
|
|||
32
Vovan1975
28.01.15
✎
17:18
|
(31) че там, ужель двухтомник?
|
|||
33
AlteZ
28.01.15
✎
17:26
|
(33) наша производственная гимнастика
|
|||
34
Fragster
гуру
28.01.15
✎
17:43
|
||||
35
Garykom
гуру
28.01.15
✎
17:48
|
(34) ага
"wholeman27 января 2015 в 12:06# Инфицирование начинается с попытки брут-форса SSH, используя логин root. Суровый «троян»." |
|||
36
AlteZ
28.01.15
✎
17:49
|
(34) на (12) смахивает, селится в /bin и /usr/bin , умел бы дебаггером - сказал бы наверняка, образ лежит в (11)
|
|||
37
AlteZ
28.01.15
✎
17:50
|
(35) наиболее вероятный способ, судя по сетевой активности, но как через NAT пролез?
|
|||
38
Garykom
гуру
28.01.15
✎
17:50
|
(36) да точно он
"Несколько дней назад наблюдался новый 32-битный вариант данного трояна с некоторыми изменениями. Бот устанавливается как /lib/libgcc4.so файл и уникальный файл, содержащий идентификационную строку в /var/run/udev.pid, скрипт инициализации был в /etc/cron.hourly/udev.sh и функции руткита были полностью опущены. Наличие всех этих файлов может служить индикатором компрометирования." |
|||
39
Garykom
гуру
28.01.15
✎
17:51
|
(37) с вин машины? или роутер у тя уже тоже крякнут...
|
|||
40
Garikk
28.01.15
✎
17:51
|
||||
41
AlteZ
28.01.15
✎
17:53
|
(40) проверил роутер - ссш проброшен, вопрос снимается)
|
|||
42
AlteZ
28.01.15
✎
17:54
|
(39) на вин машинах чисто
|
|||
43
Garykom
гуру
28.01.15
✎
17:59
|
(41) дык ))
|
|||
44
AlteZ
28.01.15
✎
18:01
|
пока совет старейшин не разошелся: может роутер с нормальным паролем открыть проброс порта по команде извне?
|
|||
45
Mutniy2
28.01.15
✎
18:03
|
(16) > пароль был слишком простой (типа 123)
надо было хотя бы 321 поставить. ) |
|||
46
Garykom
гуру
28.01.15
✎
18:04
|
(44) у д-линков были дыры, могут и у других быть
|
|||
47
Garykom
гуру
28.01.15
✎
18:10
|
||||
48
AlteZ
28.01.15
✎
18:10
|
(46) спасибо, мирное время перестаёт быть спокойным)
(45) имхается средней сложности пароль можно сбрутить за неделю-две усилиями современного ботнета |
|||
49
AlteZ
28.01.15
✎
18:16
|
Оставлю тут на всякий случай
http://habrahabr.ru/post/88461/ [code] iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT [/code] |
|||
50
Garikk
28.01.15
✎
18:28
|
логин админа ещё должен быть не root и не admin
|
|||
51
Garikk
28.01.15
✎
18:30
|
(48) если поглядеть в логи сервака голой *опой торчащего в интернет, его постоянно брутят и сканируют всякие боты
|
|||
52
Fragster
гуру
28.01.15
✎
18:38
|
проще всего port knocking на открытие ssh поставить
|
|||
53
Fragster
гуру
28.01.15
✎
18:40
|
ну, или авторизацию по ключам
|
|||
54
Garykom
гуру
28.01.15
✎
18:45
|
(52)(53) угу с отсылкой сообщения смс на телефона админа ))
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |