непонятное приложение на порту

0

1

постоянно запускается какое то приложение с названием

/.sshdd1404896301

которое постоянно пытается занять ВЕСЬ исходящий канал на порту 7168 к китайским IPшникам.

понятно что я заблочил инет, но как убрать это приложение и как найти?))

файл sshdd1404896301 генерируется в папке tmp, его удаляю и он заного создается чем то.

p.s система чистая debian, ничего доп. не ставил.

Ссылка

←	Хранение, редактирование, версионность конфиг. Файлов.

virtual hosts , поисковые системы

→

система чистая debian

lol

handbrake ★★★
(09.07.14 13:40:06 MSK)

Ссылка

Каспер что говорит?

dvrts ★★★
(09.07.14 13:43:08 MSK)

Ссылка

1000 рублей час консультаций. почта в профиле.

MikeDM ★★★★★
(09.07.14 13:44:18 MSK)

Ссылка

взломали тебя, админа ищи, ты чото совсе немощный

anonymous
(09.07.14 14:20:53 MSK)

Ответ на: комментарий от anonymous 09.07.14 14:20:53 MSK

я и так разберусь со временем. просто думал норм люди есть, которые может сталкивались с этим. и дадут ответ, или хотябы примерную последовательность действий.

а не критику в мою сторону.

smotritel
(09.07.14 15:33:33 MSK) автор топика

Дай угадаю? Ты выставил ssh с разрешенным пользователем root и простым паролем в интернет?

xorik ★★★★★
(09.07.14 15:36:28 MSK)

Ответ на: комментарий от xorik 09.07.14 15:36:28 MSK

в точку! торопился, некогда было редактировать.

я уже так и подумал что залезло чтото.

щас закрыл рута на ssh и сменил пасс.

smotritel
(09.07.14 15:38:57 MSK) автор топика

Ответ на: комментарий от smotritel 09.07.14 15:38:57 MSK

Закрой рута, а пользователем ходи по ключам.

l0stparadise ★★★★★
(09.07.14 15:41:26 MSK)

Ссылка

Скорее всего оставили руткит. Первое что можно сделать:

Поменять пароли
Посмотреть логи (особенно /var/log/auth.log - ищите Accepted password ....). Скорее всего сбрутили рута или пользователя и будет хотя бы понятна дата взлома (груба говоря в каком бекапе данные «чистые»).
Прогнать rkhunter - может обнаружится известный руткит
Вне зависимости от результатов переставить систему

RPG ★
(09.07.14 15:44:32 MSK)
Последнее исправление: RPG 09.07.14 15:49:04 MSK (всего исправлений: 2)

Ответ на: комментарий от smotritel 09.07.14 15:38:57 MSK

Я админ локалхоста, но я бы лучше востановил из бекапа.

~~nanoolinux~~ ★★★★
(09.07.14 15:44:55 MSK)

Ответ на: комментарий от nanoolinux 09.07.14 15:44:55 MSK

Обычно бекапят данные, а заразу ставят куда поглубже, в ядро например. Я бы не рисковал.

RPG ★
(09.07.14 15:48:10 MSK)

Ответ на: комментарий от smotritel 09.07.14 15:33:33 MSK

А тут разве советы дают ? - я думал это развлекательный ресурс. :)
У тебя (90%) простой пароль рута по ssh на стандартном порту подобрали и подсадили в кронтаб хрень, которая запускается из tmp, у которой не запрещен x. Или подсадили шелл на сайт и далее по списку. Все это результат полного отсутствия знаний. А какой реакции ты ожидал - сопельки вытереть чтоли, за то что ты с людей деньги за работу берешь, а сем её делать не умеешь ?

handbrake ★★★
(09.07.14 16:00:37 MSK)