Появился и исчез файл a.out в директории рута.

0

8

Реально, что за чертовщина?

Зашел в рутовый терминал, сделал прикола ради 'ls -l', смотрю — какой-то файл исполняемый a.out прямо в рутовой директории, ну думаю что за дичь, ай думаю запущу, запустил и ничего, ldd ничего не показал, посмотрел внутрь — бинарник, открыл сразу тред сюда писать, думаю вернусь натравлю file и приложу информацию об этом.

Я офигел — файла больше не было. Я его не удалял, проверил по history и вообще ничего в рутовой директории не собирал/компилировал.

Тем более из этого терминала я не выходил, файл исчез сам! Но locate то его помнит:

~ # locate a.out
/root/a.out
/usr/include/a.out.h
/usr/include/asm/a.out.h
/usr/include/bits/a.out.h
/usr/include/linux/a.out.h

Что это было и куда он исчез? Почему появился?

Ссылка

←	помощь новичку

Запутался окончательно 3g + VPN

→

← 1 2 →

А у меня вот такая фигня. У меня система на флешке (прям на флешку установлена). Я вытащил флешку и вставил её в другой комп. Запускаю mc и захожу в директорию /root флешки. Смотрю - файл .tar с параметром исполняемого. Странно. Тыкаю по нему, чтобы посмотреть что внутри. И тут у меня ругается антивирус! Да, у меня - антивирус в Linux.

https://i.imgur.com/XPA5Puk.png

Как видно на скриншоте, в моей системе поселился Linux/Bew.A - троянская программа. Хотя моя система была за NAT-ом. Дата создания файла - 30 ноя 2016.

А я всё равно не буду её сносить: система на флешке была создана с единственной целью: не насиловать HDD, потому что комп используется только для майнинга.

ZenitharChampion ★★★★★
(14.11.17 12:15:56 MSK)
Последнее исправление: ZenitharChampion 14.11.17 12:18:11 MSK (всего исправлений: 1)

Ответ на: комментарий от ZenitharChampion 14.11.17 12:15:56 MSK

так не поселился же. кильни файлик и все дела

bvn13 ★★★★★
(14.11.17 12:18:39 MSK)

Ответ на: комментарий от bvn13 14.11.17 12:18:39 MSK

Думаю что поселился. Не я же лично создал этот несчастный файл в /root/

Читаю сейчас его описание. Прописывается в /etc/init.d/, оставляет следы жизнедеятельности в /tmp/. Если это описание того вируса (ESET и Dr. Web имеют разные названия вирусов, но Google выдал это). https://vms.drweb.ru/virus/?i=4323517

ZenitharChampion ★★★★★
(14.11.17 12:24:35 MSK)

Ответ на: комментарий от ZenitharChampion 14.11.17 12:24:35 MSK

Список команд, которые может выполнять троянец:

установить UUID (Universally Unique Identifier) – уникальный идентификатор инфицированной машины;
выполнить задачу по работе с файлами;
обновить исполняемый файл бэкдора;
запустить командный интерпретатор с заданными параметрами;
начать атаку SYN Flood;
начать атаку UDP Flood;
начать атаку HTTP Flood;
начать атаку NTP Amplification;
прекратить DDoS-атаку;
записать данные в файл «/etc/.Xserver_note»;
запустить сервер portmap;
запустить прокси-сервер;
удалить себя.

Полезная весчь! Особенно, если сам им управляешь.

bvn13 ★★★★★
(14.11.17 12:28:04 MSK)

Ответ на: комментарий от bvn13 14.11.17 12:28:04 MSK

Хочешь прикол? Я монтировал флешку на Read Only. Как Eset мог стереть файл с вирусом?!

ZenitharChampion ★★★★★
(14.11.17 12:31:14 MSK)

Ответ на: комментарий от ZenitharChampion 14.11.17 12:31:14 MSK

он мог просто написать о том, что стер

bvn13 ★★★★★
(14.11.17 12:32:41 MSK)

Ответ на: комментарий от bvn13 14.11.17 12:32:41 MSK

А, ну да. Ну тогда у меня есть замечательная возможность изучить этот троян :-)

https://www.malekal.com/backdoor-linux-bew-a-et-client-bitcoin/

А тут пишут, что с помощью этого трояна-бэкдора хакеры запускают bfgminer на компе жертвы. Интересно. Интересно, удивились ли хакеры, увидев что весь проц уже занят майнером?

ZenitharChampion ★★★★★
(14.11.17 12:34:48 MSK)
Последнее исправление: ZenitharChampion 14.11.17 12:40:37 MSK (всего исправлений: 2)

Ответ на: комментарий от ZenitharChampion 14.11.17 12:15:56 MSK

Что за антивирус?

dnb ★★★★
(14.11.17 12:36:47 MSK)

Ответ на: комментарий от dnb 14.11.17 12:36:47 MSK

Eset NOD32 для Linux.

ZenitharChampion ★★★★★
(14.11.17 12:37:05 MSK)

Ссылка

Ответ на: комментарий от ZenitharChampion 14.11.17 12:15:56 MSK

> Хотя моя система была за NAT-ом

Долгое время она имела прямой IP. Wait... Oh shit!

ZenitharChampion ★★★★★
(14.11.17 12:44:16 MSK)

Ссылка

Ответ на: комментарий от ZenitharChampion 14.11.17 12:15:56 MSK

Может, мокрая писька от Huawei? Или это просто значок?

TheAnonymous ★★★★★
(14.11.17 13:07:11 MSK)

Ответ на: комментарий от TheAnonymous 14.11.17 13:07:11 MSK

Ты про файл .tar?

ZenitharChampion ★★★★★
(14.11.17 13:16:40 MSK)

Кстати, насчёт странных файлов в /

В CentOS и Fedora был/есть какой-то баг с пакетным менеджером и в корне диска появляется файл с именем «1».

Я тоже сначала испугался, думал кулхацкеры тестировали на серваке доступ на запись, но ничего подозрительного не обнаружил и забил.

Немного спустя обновился с Fedora 24 на Fedora 25, зашёл в корень диска и тоже обнаружил этот файл:

http://esxi.z-lab.me:666/~exl_lab/screens/weird_1_file_rpms.jpg

Стал гуглить, наткнулся на:

https://unix.stackexchange.com/questions/329311/weird-files-in-root-directory...

Человек в комментариях ссылается на баги пакетного менеджера. Интересно, кто-нибудь ещё из пользователей RPM-based дистрибутивов встречал такое?

EXL ★★★★★
(14.11.17 13:23:14 MSK)
Последнее исправление: EXL 14.11.17 13:23:59 MSK (всего исправлений: 1)

Ответ на: комментарий от EXL 14.11.17 13:23:14 MSK

> думал кулхацкеры тестировали на серваке доступ на запись

Когда я увидел файл .tar, подумал «я что-то архивировал, и поставил лишний пробел. Интересно, что в архиве?» И тыкнул Enter! Зелёный цвет файла со звёздочкой (в mc это значит «исполняемый») не настрожил. Если бы не антивирус - был бы на один заражённый ПК больше

ZenitharChampion ★★★★★
(14.11.17 13:48:55 MSK)
Последнее исправление: ZenitharChampion 14.11.17 13:51:29 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от ZenitharChampion 14.11.17 13:16:40 MSK

На скрине на рабочем столе у тебя «3G Internet», это что?
Китайцы же так любят играться, если в их телефонах трояны в стоковых прошивках, странно доверять их непонятному софту для 3G модема

TheAnonymous ★★★★★
(14.11.17 14:27:21 MSK)

Ссылка

Ответ на: комментарий от TheAnonymous 14.11.17 13:07:11 MSK

Понял о чём ты. Хуавейная утилита для SMS и интернета установлена. Только не в ту ОС, где я нашёл проблему.

Если интересно про Хуавей. Я устанавливал не из инсталлера: добрые люди меня предупредили, что инсталлер добавляет ALL в sudoers, разрешая им все команды без ввода пароля. А ещё добавляет в /etc/xdg/autostart некий HUAWEI Autorun с командой xhost +.

Я сделал хитрее: запустил Linux в виртуалке, туда установил Хуавейный комбайн, затем прогнал find по файловой системе в поиске файлов, изменённых за последний час. Всё что нашёл - заархивировал в tar.gz. Так и получил утилиту для отправки SMS без инсталлера!

ZenitharChampion ★★★★★
(14.11.17 14:27:40 MSK)

Ответ на: комментарий от ZenitharChampion 14.11.17 14:27:40 MSK

Только не в ту ОС, где я нашёл проблему

тогда да, вряд ли.

Долгое время она имела прямой IP. Wait... Oh shit!

SSH, логи, чисто?

TheAnonymous ★★★★★
(14.11.17 14:29:56 MSK)

Ссылка

Ответ на: комментарий от ZenitharChampion 14.11.17 12:34:48 MSK

Интересно, удивились ли хакеры, увидев что весь проц уже занят майнером?

Может, и сам майнер, поди от рута работал?

TheAnonymous ★★★★★
(14.11.17 14:31:30 MSK)

Ссылка

1 апреля 2018 г.

Ответ на: комментарий от EXL 14.11.17 13:23:14 MSK

Лёгкий некропостинг: случайно нашёл твой пост. Да, у меня с федорой была такая же проблема. Но я видел этот файл на разных машинах, поэтому успокоился.

В F27 этот баг не наблюдаю.

ZERG ★★★★★
(01.04.18 20:33:54 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	помощь новичку

General

Запутался окончательно 3g + VPN

→

Похожие темы