Очень плохой процесс

0

3

Может кто знает. Схватили «вирус».

Что он делает:

Создаёт кучу процессов с рамдомными именами.
Добавляются в автозапуск 12345 уровни.
Демоны грузят до полной процессор.

kill -9 PID не помог. Порождаются новые процессы с новыми именами. В скелетоне /etc/init.d/[имя] никуда не ведут. Запускаются под root. В кроне лишних строчек нет. В общем, помогите, что делать.

Ссылка

←	Iptables диапазон в destination-ip

Возможен ли такой вариант на микротике???

→

Что делать, что делать... ааааа мы все умрем.... аааа
1. Избавляться от вируса
2. Надавать по голове тому кто виноват

anc ★★★★★
(12.10.15 18:20:59 MSK)

Ссылка

В общем, помогите, что делать.

Обратиться к системному администратору.

edigaryev ★★★★★
(12.10.15 18:38:37 MSK)

Ссылка

Что-что. Задампить систему, переустановить, отключить от внешнего мира, накатить из бекапа. Закрыть известные дыры, забекапиться, выставить в продакшен.

Параллельно искать печальку по дампу зараженной системы.

eabi ★
(13.10.15 00:30:17 MSK)

Ссылка

Хотелось бы узнать

Ещё немного поизучала поведение, но так как вирь грузит постоянно систему и пока самый зажравшийся процесс не кильнёшь,то пришлось восстанавливаться из бекапа и донастраивать безопаснику доступ побыстрей.

Кстати, грузит систему выбранной после загрузки ОС командой, например, netstat -an или ls -la . В разных RC куча скелетонов виря и также тут:

lrwxrwxrwx 1 root root 20 Окт 13 09:16 K90ahpzwmtuwt -> ../init.d/ahpzwmtuwt

Сам скелет

#!/bin/sh
# chkconfig: 12345 90 90
# description: daobnevvqk
### BEGIN INIT INFO
# Provides:		daobnevvqk
# Required-Start:	
# Required-Stop:	
# Default-Start:	1 2 3 4 5
# Default-Stop:		
# Short-Description:	daobnevvqk
### END INIT INFO
case $1 in
start)
	/usr/bin/daobnevvqk
	;;
stop)
	;;
*)
	/usr/bin/daobnevvqk
	;;
esac

Машину слить у клиента невозможно((. Теперь жутко интересно узнать где этот скрипт, который такое вытворяет, и как его искать-избавляться?

kcehna
(13.10.15 16:58:43 MSK) автор топика