Bash жрёт 200% cpu

Не спасает во всех случаях != не спасает вообще.

На Windows можно поймать вирус даже с включенным и обновленным антивирусом, но это ещё не значит, что можно без него обходиться.

Что на Linux есть вирусы даже не смотря на то, что пакетная система позволяет обновлять одну библиотеку разом для всех приложений, а не перекладывает эту заботу на разработчика каждого приложения ещё не значит, что это не имеет значения вовсе.

В 2022 это не имеет значения вовсе.
Пример прямо перед глазами.
Вопрос лишь в желании видеть истину.

а наоборот? мог?

То есть рациональные аргументы кончились и ты перешел к мантрам? Мне тебе примеры найти, как Windows заражали через старые библиотеки в установленном стороннем ПО, или ты сам справишься?

В теории да. Сделал ли он это — вопрос.

А ещё раз говорю, что речь не про винду.
Речь уже видимо про понимание самого термина «рациональность»)))

А про что тогда?

Насколько я помню, твое мнение: в Linux нужно перейти от репозиториев к архивам, в которых разработчики сами будут поставлять все нужные для работы программам библиотеки. Ну то есть как .exe в винде для установки приложений.

Если очень хочется, то никто и сейчас не мешает это сделать. Сисколы ядра в версии 2.6 стабилизировались, ЕМНИП, вызовы ALSA и X11 тоже. Сделай бинарник, что почти никак не взаимодействует с системными библиотеками и даже свой glibc внутри chroot носит — и вперед!

Работать будет почти везде. Так не делают лишь потому, что это тупо дороже, чем быстро тяп-ляп собрать .deb пакет, что работает только на Ubuntu LTS и в котором даже не прописаны нужные зависимости.

Это проблема не техническая, что Linux не позволяет это делать, а финансовая — что это невыгодно делать. Делать такие универсальные и хорошие пакеты под Linux дороже и требует более квалифицированной работы, чем заставить кое-как работать ПО на Ubuntu, собрать debootstrap пакет и даже не проверять работу на иных дистрибутивах.

надеюсь что нет. ибо сервер мне дали для тренировок. и он может быть общий.

А кто сказал, что ты виноват в заражении? Это и до тебя могло быть. Сообщи руководству и просканируй свой комп, с которого подключался, антивирусом, если из-под Windows ходил.

Ещё у тебя /boot вообще не монтируется, а /home с noexec, верно?

Не очень: /boot не отцеплял, а noexec на /home для dev during daytime - мягко говоря не практично :)

я не говорил что я виноват в заражение. мне больше пугает что это штука может быть у меня.

Сисколы ядра в версии 2.6 стабилизировались

С чего бы это вдруг? За обратной совместимостью всеми уважаемый дядька Линус следит (и следил, задолго до 2.6), но если бы новые syscalls не появлялись - развитие ядра остановилось бы.

ибо сервер мне дали для тренировок. и он может быть общий.

Всё не просто печально, а очень печально. Бегите оттуда.

TC, чисто в информационно-просветительских целях хочу тебя предупредить. У тебя может возникнуть желание в исследовательских целях поизучать заражённую машину и самого зловреда. Не занимайся этим изнутри заражённой системы, это бессмысленно, так как она уже скомпрометирована, грубо говоря она уже не твоя, и всё что ты видишь в выхлопе различных команд может быть подделано или искажено зловредом.

Загрузись с заведомо чистой и рабочей системы, например с какого нибудь LiveUSB дистрибутива, монтируй корень заражённой ОС куда нибудь и глумись уже над ёе трупом. И конечно ничего с принадлежащей заражённой ОС файловой системы не запускай.

«Лечить» её тоже смысла нет, так как у тебя никогда не будет гарантии что ты вылечил всё и перекрыл все дыры. Так что тебе следует:

1. Понять как и каким путём произошло заражение

2. Установить систему заново с заведомо «чистого» носителя на свежесозданную «чистую» ФС

3. Использовать полученный опыт, закрыть имеющуюся уязвимость, либо не создавать тех же условий что привели к заражению.

Внимание, без пункта 1 всё дальнейшее смысла не имеет, так как только дурак повторяет одни и те же действия надеясь однажды получить какой то другой результат.

Спасибо за просвещение

надо переустановить виндовс, конечно же

Первый пункт крайне трудновыполним, если это тренировочный сервер, с которым до него куча людей творила разное непотребное и который не он ставил и настраивал.

Одно дело свою ошибку найти, иное дело найти ошибку многолетней давности иного человека, следов которой уже не сохранилось. Может когда-то давно кто-то поставил на root пароль 123, выключил AppArmor и firewall, пустил голой жопой на белый IP и оставил SSH на стандартном 22 порту без fail2ban. Потом весь этот ужас убрали, а зловред остался.

отличный совет, брух! Только пункт 1 состоит из тыщщи подпунктов. Как ты предполагаешь ТС вычислит вектор атаки просто смонтировав предположительно пробитую систему?

Я про обратную совместимость и говорил. То есть если собирать под ядро 2.6 — будет работать и на 5.18.

А вот тут и происходит отделение мальчиков от мужчин и возмужание специалистов. Изучив то что зловред натворил например. Возможно зловред логи не подчистил, возможно где нибудь насрал и не убрал. Либо вычислит, либо нет. Может быть хотя бы близкое к истине предположение сделает по форме и диаметру пробитого отверстия.

Хотя если система действительно «общая», и с ней до него резвились немытыми руками десятки личинок «специалистов», выяснить действительно ничего не удастся. Тут уже не ТСа прокол, а того кто такую ублюдочную методику обучения придумал и организовал. ТС тут ничего не сделает и ничему не научится, так как не может отвечать за неведомые действия неведомо кого.

Ну, я видел и худшие методики обучения.

Хотя тут п.1 можно считать выполненым — заражение произошло вследствии безответственной эксплуатации одной и той же системы множеством людей имеющих root доступ. Способ избежания подобного в дальнейшем — не допускать подобной эксплуатации системы.

Представил себе десяток будущих хирургов по очереди потрошащих и потом зашивающих один и тот же заражённый личинками и расползающийся труп.

Учить работать только так неправильно, тут я на 100% согласен, но правда в том, что сервера в таком состоянии не то чтобы мегаредкие в продакшене. Большинство взломов происходит не потому, что хакеры такие хитрые, а потому, что с безопасностью швах. А швах потому, что организации деньги не на IT зарабатывают, а с помощью IT, и пока вирусы не мешают — на них нередко пофиг.

А что их представлять, в морг сходи на занятие судебных медиков. Только не ешь перед этим.

Ходил. И это не так как я описал происходит :) Там нет многоразовой эксплуатации одного и того усопшего на конвейерной основе, как в случае с сервером ТС.

Круто, а я только книгу «Записки увлеченного судмедэксперта» читал. Но не буду тут цитировать фрагменты, во-первых оффтопик, во-вторых это не всем понравится.

В ВУЗе на первом курсе была анатомичка в рамках начальной медицинской подготовки зачем то. До сих пор не понимаю зачем она там была, потом её кажется убрали.

А, ну там скорее обычные трупы были. А не всякая жесть с гнилостной венозной сетью, проломанным черепом, вздувшимся животом и личинками-опарышами в глазах.

Я про обратную совместимость и говорил. То есть если собирать под ядро 2.6 — будет работать и на 5.18.

Кернеловые модуля? Глубочайшее заблуждение.

Скорее обычного ППО.

На твоём сервере троян развернул майнинг и прикидывается bash. Короче на тебе майнят крипту. Сноси сервер. Запускай новый, убери пароль для входа только по ключам https://losst.ru/avtorizatsiya-po-klyuchu-ssh и будет тебе частье

Скорее обычного ППО.

В юзер-спейс всё более-менее чистенько, да.

я бы с радостью

Что останавливает?

можно описание вопроса посмотреть, если лень читать то у меня нет возможности снести

можно описание вопроса посмотреть

Которого именно?

https://www.kernel.org/doc/Documentation/process/stable-api-nonsense.rst

Оно?

И разбиение на пакеты тоже не спасает.

Если извести пакеты на нет, поможет?

Ищи скрипт, который жрёт и смотри, что в нём не так

И разбиение на пакеты тоже не спасает.

Причём тут пакеты вообще? Не пиши чушь. Они не для безопасности а для удобства поддержки и обновлений.

Забыл пункт «перепроверить не перепрошил ли он биос на заражённый».

Как на счет монтировать / в ридонли и только /var/log с /tmp на запись?

Ага, а еще все роутеры в сети надо сбросить до заводских настроек.

Заводские настройки вроде прошивку не возвращают на место, так что не поможет.

Хорошая идея, правда список «на запись» нужен побольше. Но мейнстримным линукс дистрам такое не осилить в режиме нормальной работы.

Дык ее можно перепрошить с сайта. Возможно, роутеры так и делают автоматом.

Перепрошивкой новой прошивки занимается старая.

Как на счет монтировать / в ридонли и только /var/log с /tmp на запись?

Не выйдет, к сожалению.

Почему? Сколько пунктов записи нужно к примеру слакваре? Про убунту говорить не будем так как неизвестно что там вообще в нутрях происходит.

При чём здесь бубунта? Я уже запамятовал где именно у меня «глобальный» затык случился, но как мин /etc отцепить так просто не получится, а туда много кто писать хочет, /etc/mtab for example.