LINUX.ORG.RU

История изменений

Исправление swelf, (текущая версия) :

Всем спасибо, зловред найден. Шаги для поиска.

  1. Включил tcpdump на 22 порт и целевой хост, и стал ждать, неожиданно увидел что пакеты иногда ходят. Я в этот момент содинение не нициировал. внимательней посомтрел auth.log и нашел кучу строк Mar 9 22:10:30 * sshd[4461]: Connection closed by ... port 11914 [preauth]

В то что машина стала общественной всеже не верил

  1. Решил посмотреть на процессы связанные с терминалом по рецепту firkax, ничего кроме шела там не обнаружил.

  2. Запустил аудит auditctl -a exit,always -F arch=b64 -S execve дождался сообщения к консоли и полез в файл /var/log/audit/audit.log, рядом с командой ssh была команда git, что и привело меня к решению.

К шелу подвязан скрипт

if [ -f "$HOME/.bash-git-prompt/gitprompt.sh" ]; then
    GIT_PROMPT_ONLY_IN_REPO=0
    source $HOME/.bash-git-prompt/gitprompt.sh
    GIT_PROMPT_SHOW_UNTRACKED_FILES=no
    GIT_PROMPT_THEME=Single_line_NoExitState_Gentoo
fi

который добавляет некоторую информацию о состояний git репы в prompt, в том числе и сверяя с remote сервром подцепленным по ssh. Переключаюсь я на рута sudo -s в одной из папок в git проектом, у рута нету ни одного хоста в .known_hosts, соответственно когда в фоне скрипт помошник лезет в remote репу, то ему прилетает отлуп в виде вышеописанного сообщения.

Исходная версия swelf, :

Всем спасибо, зловред найден. Шаги для поиска.

  1. Включил tcpdump на 22 порт и целевой хост, и стал ждать, неожиданно увидел что пакеты иногда ходят. Я в этот момент содинение не нициировал. внимательней посомтрел auth.log и нашел кучу строк Mar 9 22:10:30 * sshd[4461]: Connection closed by ... port 11914 [preauth]

В то что машина стала общественной всеже не верил

  1. Решил посмотреть на процессы связанные с терминалом по рецепту firkax, ничего кроме шела там не обнаружил.

  2. Запустил аудит auditctl -a exit,always -F arch=b64 -S execve дождался сообщения к консоли и полез в файл /var/log/audit/audit.log, рядом с командой ssh была команда git, что и привело меня к решению.

К шелу подвязан скрипт

if [ -f "$HOME/.bash-git-prompt/gitprompt.sh" ]; then
    GIT_PROMPT_ONLY_IN_REPO=0
    source $HOME/.bash-git-prompt/gitprompt.sh
    GIT_PROMPT_SHOW_UNTRACKED_FILES=no
    GIT_PROMPT_THEME=Single_line_NoExitState_Gentoo
fi