Имя: Пароль:
IT
Админ
Зловред "neqzwssngr" под Убунтой. Как он туда попал? (слайды)
, , ,
0 AlteZ
 
28.01.15
09:29
Зловред "neqzwssngr" Ест CPU, нагружает сеть

После killall neqzwssngr , пришел ryguivtttq, за ним rcpxscnrtq.

Стоит ubuntu 12.04 с сайта с ядром http://compizomania.blogspot.com/2014/06/linux-kernel-315-stable-ubuntulinux-mint.html +LAMP.
Тормоза появились сегодня. Вчера поставил DNC 1.3.0rc8. Больше ничего.
http://dnc.ru/forum/viewtopic.php?f=16&t=1162&p=9668#p9668
1 Психотерапевта Вызыва
 
28.01.15
10:06
(0) класс!
троян на бубунте
2 kortun
 
28.01.15
10:09
(1) это провокация, не бывает вирусов и троянов на линуксе.
это все проделки билла
3 wanderer_ица
 
28.01.15
10:10
(1) если что, первый троян был написан под уних....
4 IUnknown
 
28.01.15
10:10
конечно не бывает, во только первые вирусы появились таки под никсами
5 ASV
 
28.01.15
10:12
проверить cron
посмотреть что в bash_history
6 AlteZ
 
28.01.15
10:19
(5) ок, после работы гляну, это всё на тестовой виртуалке (vdi) творится, ссылку выложу как зальётся
7 AlteZ
 
28.01.15
10:48
cat /etc |grep cron

/etc/anacrontab
/etc/apm/event.d/anacron
/etc/cron.d
/etc/cron.d/.placeholder
/etc/cron.d/anacron
/etc/cron.daily
/etc/cron.daily/.placeholder
/etc/cron.daily/0anacron
/etc/cron.daily/apt
/etc/cron.daily/aptitude
/etc/cron.daily/bsdmainutils
/etc/cron.daily/cracklib-runtime
/etc/cron.daily/dpkg
/etc/cron.daily/logrotate
/etc/cron.daily/man-db
/etc/cron.daily/mlocate
/etc/cron.daily/passwd
/etc/cron.daily/samba
/etc/cron.daily/upstart
/etc/cron.hourly
/etc/cron.hourly/.placeholder
/etc/cron.monthly
/etc/cron.monthly/.placeholder
/etc/cron.monthly/0anacron
/etc/cron.weekly
/etc/cron.weekly/.placeholder
/etc/cron.weekly/0anacron
/etc/cron.weekly/apt-xapian-index
/etc/cron.weekly/fstrim
/etc/cron.weekly/man-db
/etc/crontab
/etc/default/anacron
/etc/default/cron
/etc/init/anacron.conf
/etc/init/cron.conf
/etc/init.d/anacron
/etc/init.d/cron
/etc/pam.d/cron
/etc/systemd/system/multi-user.target.wants/anacron.service


crontab


17 *    * * *    root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *    root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
*/3 * * * * root /etc/cron.hourly/udev.sh
8 Garykom
 
гуру
28.01.15
11:01
(0) эээ долго прыгал с бубном чтобы этот вирус то скомпилировать? ))

ЗЫ
руткиты и трояны видал, вирусов нет
9 ASV
 
28.01.15
11:04
/etc/cron.hourly/udev.sh  это что
10 Exec
 
28.01.15
11:54
(8) кстати, я компилил под рэдхад, ради интереса какой-то резидентный вир :) давно правда было, и не с первого раза получилось скомпилить
трояны интересней :)
11 AlteZ
 
28.01.15
15:40
(9)
udev.sh
[/CODE]
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp /lib/libgcc4.so /lib/libgcc4.4.so
/lib/libgcc4.4.so
[/CODE]

https://yadi.sk/d/vfRHSS9WeJ44F -- образ системы 1.3Г
12 Garykom
 
гуру
28.01.15
15:45
13 AlteZ
 
28.01.15
16:01
(12) похож по описанию
Можно ли предположить способ проникновения, дырка в вебсервере?
14 Vovan1975
 
28.01.15
16:03
ахахахаха, бедные красноглазики...
15 Garykom
 
гуру
28.01.15
16:09
(13) может, но скорее руткит или )) дырка в пароле на root
16 Garykom
 
гуру
28.01.15
16:12
(15)+ т.е. как у меня вышло когда систему тестовую на ночь оставил с дотупом по ssh (на роутере проброску сделал чтоб из дома поковырять), пароль был слишком простой (типа 123)

утром прихожу и не могу понять что с сеткой творится тормоза, стал смотреть кто )) мля китайцы (судя по ip) мой тестовый сервак превратили в проксю ))
17 AlteZ
 
28.01.15
16:13
(15) вроде не ставил софт и в нете не сидел из-под него, ссш руту запрещен, остальное пока за горизонтами моего познания, а пароль у рута просто 1, да)
18 Garykom
 
гуру
28.01.15
16:13
(17) гыгы
19 AlteZ
 
28.01.15
16:14
это как бы локальный вебсервер без пробросов портов и прочих коммуникаций, для сбора инфы о заказах, но урок усвоен
20 AlteZ
 
28.01.15
16:16
настоящим адом для меня был шлюз на фрибсд в первый месяц работы админом: платный трафик и ддос на 1т.р. за полдня накручивал по белому ИП
21 Garykom
 
гуру
28.01.15
16:16
(19) скорее всего в сетке у вас ботнет сидит где то
22 Vovan1975
 
28.01.15
16:16
(16) это все крамола, линух хакероустойчив сам по себе
23 AlteZ
 
28.01.15
16:17
(21) дома 2,5 компа.. не думаю
24 AlteZ
 
28.01.15
16:17
(23) в продакшен еще не ставил
25 polosov
 
28.01.15
16:20
(22) Чтож у тебя так полыхает то?
26 Vovan1975
 
28.01.15
16:26
ха! линух это круто!

берите разбег побольше перед прыжком ж.пой на кактус, ыыы
27 AlteZ
 
28.01.15
16:35
(26) Давай рассказывай уже где как прыгал, народ в (25) стесняется спросить
28 polosov
 
28.01.15
16:38
(26) Тебя линуксойды в переулке книжками по bash'у избили?
29 Vovan1975
 
28.01.15
16:50
(27) не, я то из зрителей
30 Vovan1975
 
28.01.15
16:51
(28) а книжки по башу толстые? а то неуверен что прыщавые задроты смогуть ей хотябы размахивать, не то что драться
31 AlteZ
 
28.01.15
16:56
(30) времена меняются https://www.facebook.com/video.php?v=10153501180651564
32 Vovan1975
 
28.01.15
17:18
(31) че там, ужель двухтомник?
33 AlteZ
 
28.01.15
17:26
(33) наша производственная гимнастика
34 Fragster
 
гуру
28.01.15
17:43
35 Garykom
 
гуру
28.01.15
17:48
(34) ага

"wholeman27 января 2015 в 12:06#
Инфицирование начинается с попытки брут-форса SSH, используя логин root.
Суровый «троян»."
36 AlteZ
 
28.01.15
17:49
(34) на (12) смахивает, селится в /bin и /usr/bin , умел бы дебаггером - сказал бы наверняка, образ лежит в (11)
37 AlteZ
 
28.01.15
17:50
(35) наиболее вероятный способ, судя по сетевой активности, но как через NAT пролез?
38 Garykom
 
гуру
28.01.15
17:50
(36) да точно он

"Несколько дней назад наблюдался новый 32-битный вариант данного трояна с некоторыми изменениями. Бот устанавливается как /lib/libgcc4.so файл и уникальный файл, содержащий идентификационную строку в /var/run/udev.pid, скрипт инициализации был в /etc/cron.hourly/udev.sh и функции руткита были полностью опущены. Наличие всех этих файлов может служить индикатором компрометирования."
39 Garykom
 
гуру
28.01.15
17:51
(37) с вин машины? или роутер у тя уже тоже крякнут...
40 Garikk
 
28.01.15
17:51
(37) http://www.opennet.ru/opennews/art.shtml?num=41549

свеженькое, не почтовый сервак ли?
41 AlteZ
 
28.01.15
17:53
(40) проверил роутер - ссш проброшен, вопрос снимается)
42 AlteZ
 
28.01.15
17:54
(39) на вин машинах чисто
43 Garykom
 
гуру
28.01.15
17:59
(41) дык ))
44 AlteZ
 
28.01.15
18:01
пока совет старейшин не разошелся: может роутер с нормальным паролем открыть проброс порта по команде извне?
45 Mutniy2
 
28.01.15
18:03
(16) > пароль был слишком простой (типа 123)

надо было хотя бы 321 поставить. )
46 Garykom
 
гуру
28.01.15
18:04
(44) у д-линков были дыры, могут и у других быть
47 Garykom
 
гуру
28.01.15
18:10
48 AlteZ
 
28.01.15
18:10
(46) спасибо, мирное время перестаёт быть спокойным)
(45) имхается средней сложности пароль можно сбрутить за неделю-две усилиями современного ботнета
49 AlteZ
 
28.01.15
18:16
Оставлю тут на всякий случай
http://habrahabr.ru/post/88461/

[code]
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
[/code]
50 Garikk
 
28.01.15
18:28
логин админа ещё должен быть не root и не admin
51 Garikk
 
28.01.15
18:30
(48) если поглядеть в логи сервака голой *опой торчащего в интернет, его постоянно брутят и сканируют всякие боты
52 Fragster
 
гуру
28.01.15
18:38
проще всего port knocking на открытие ssh поставить
53 Fragster
 
гуру
28.01.15
18:40
ну, или авторизацию по ключам
54 Garykom
 
гуру
28.01.15
18:45
(52)(53) угу с отсылкой сообщения смс на телефона админа ))