LINUX.ORG.RU
ФорумAdmin

Вредоносное ПО на Линуксе

 


0

3

Доброго всем,

В первый раз сталкиваюсь, дали сервер на котором сидит какая-то хрень, запускает непонятные процессы

  ├─olttjfilku,1008     
  │   ├─{olttjfilku},1015
  │   ├─{olttjfilku},1016
  │   └─{olttjfilku},1017
  ├─rufrnfwrix,6630                         
  ├─rufrnfwrix,6631                         
  ├─rufrnfwrix,6632                         
  ├─rufrnfwrix,6636                         
  ├─rufrnfwrix,6637   

root      7703  0.0  0.0   1408   924 ?        Ss   15:48   0:00 ps -ef                         
root      7705  0.0  0.0   1408   928 ?        Ss   15:48   0:00 cat resolv.conf                         
root      7706  0.0  0.0   1408   928 ?        Ss   15:48   0:00 route -n                         
root      7707  0.0  0.0   1408   928 ?        Ss   15:48   0:00 su    

root      7806  0.0  0.0   1408   924 ?        Ss   15:49   0:00 ifconfig                         
root      7807  0.0  0.0   1408   924 ?        Ss   15:49   0:00 ls -la                         
root      7810  0.0  0.0   1408   924 ?        Ss   15:49   0:00 id                         
root      7812  0.0  0.0   1408   924 ?        Ss   15:49   0:00 echo "find"                         
root      7813  0.0  0.0   1408   924 ?        Ss   15:49   0:00 netstat -an

Процессы очень быстро меняются.

Как найти где спряталось?



Последнее исправление: chegeware (всего исправлений: 1)
Перестал работать xl2tp
FS под тонны бекапов?

Безопаснее всего переустановить/восстановиться из бэкапа.

peregrine ★★★★★
()

В кронтабе оно спряталось. Хотя, как уже сказали, безопаснее восстановиться из бекапа. Только дрянь эту из бекапа не восстанови :)

generator ★★★
()
Ответ на: комментарий от chegeware

кронтаб смотрел

Через pstree посмотри, кто запускает фейковые процессы, и грепни по имени в /etc.

IPшник забанили, не могу переустановить пакеты(

Вот здесь не понял, кто кого забанил. Но в любом случае, переустанови систему и восстанови нужный софт из бекапа, это надёжнее будет. Кто знает, где эта гадость могла следы оставить?

generator ★★★
()

Каким путём вообще возможно подцепить подобную шляпу в линуксе? Только если локально, в ваше отсутствие, какой-нибудь мамкин хакер с флэшки установит вредоносный код, написанный СПЕЦИАЛЬНО под этот конкретный сервер. Более никак.

anonymous
()
Ответ на: комментарий от peregrine

Ну или так. Вообще, проблема с вирусами давно решена даже в Windows, то есть вирусы-то есть, но нужно явное согласие пользователя на их установку, то есть расчёт идёт только на домохозяек. А вот откуда вирус у линуксового (!) сисадмина (!) - это ппц, либо профнепригодность, либо заговор и всюду враги.

anonymous
()
Ответ на: комментарий от anonymous

Через уязвимости. Сервер без обновлений что на линуксе, что на винде это решето.

ritsufag ★★★★★
()
Ответ на: комментарий от anonymous

Каким путём вообще возможно подцепить подобную шляпу в линуксе?

Дырявые похапе скрипты на хреново настроенном хостинге, например. Тогда оно будет от юзера apache(или httpd) срать.

Pinkbyte ★★★★★
()

ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ LИNUX

В следующий раз используй нормальные пароли, а еще лучше ключи.

edigaryev ★★★★★
()

+1 за снести все и восстановить данные из бэкапа. Безопаснее.

afiskon
()

Все сказано верно. Сейчас появилась профессия - проектманагер, так эти «успешные люди» по фрилансу набирают не поймешь кого, дают им пароли от рута и пошло поехало...

В кроне что-то есть подозрительное. Еще ковыряю. Еще пишут, что патчат sshd, другие демоны, загружают модули ядра. Понятно что вариантов много.

Переустановить бы за счастье, только IP адрес этого VPS уже не дает доступа к репозиториям.

chegeware
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Перестал работать xl2tp
Admin
FS под тонны бекапов?