Зловред В руте.

1

5

Привет.

Ситуация довольно весёлая.

Есть проксмокс кластер (мать его)

Мастер нода словила троян через CT, (походу повышение прав каким то магическим образом) и теперь брызжет всякой дрянью направо и налево.

1. Железка с висит с 60+LA что делает диагностику по ssh очень затруднительной (Пошаговая стратегия) Из того что удалось узнать

Висит в /usr/bin/*(10 знаков лоукейса) и иногда перезаписывает себя туда же. Так же он прописался в rc.d и еще куда то, понять точно не могу. Запускает всякие штуки типо 'grep «A»' 'ld' 'whoami' и прокидывает гномосессию 'РУТКИТ С ГНОМОМ, КАРЛ!' Куда то в даль. Вроде бы ничего не тронуто из системных файлов ( не могу сказать точно, т.к. пошаговый push to win занимает сильно много времени)

2. Пидо^W саппорт на отрез отказался давать мне IP-IPMI с намёком на то что мол *руби дрова сам, иванушка* Запустили протухший рекавери, который не содержит zfs, так что маунт и дальнейший инвестигейт не представляется возможным.

rkhunter и chkrootkit Ничего толкового не нашли.

Подскажите куда копать.

p.s. Купить АК-47 на чёрном рынке и поехать к ним в дц, не предлагать.

Ссылка

←	/dev/sda - зашифрован Bitlocker

Безопасно затереть диск для дальнейшего шифрования

→

Получить zfs внутри recovery (fuse-вариант же заработает под тем ядром), смонтировать.

Либо забить и залить из бэкапа (вообще — в любом случае нужно будет).

WTF гном там делает.

x3al ★★★★★
(16.07.15 16:01:16 MSK)

Ответ на: комментарий от x3al 16.07.15 16:01:16 MSK

Да я *лть сам в шоке. Я такое первый раз вижу.

zfs внутри рекавери отпадает. там ядро тухлое и 10.04 бунта (чтоб их)

Если достучусь до них, может новое что нить бутнут, саппорт адский.

travka ★
(16.07.15 16:03:59 MSK) автор топика

саппорт на отрез отказался давать мне IP-IPMI с намёком на то что мол *руби дрова сам, иванушка*

А какого хрена? Или ты ультра-нищебродские тарифы выбрал? Ну пусть хоть kvm подключат, обычно за дополнительную плату, но все же. Там уже сам перебутишь и перенакатишь.

~~entefeed~~ ☆☆☆
(16.07.15 16:16:36 MSK)

This? http://blog.amet13.name/2015/05/linux.html

~~Amet13~~ ★★★★★
(16.07.15 16:18:35 MSK)

Ответ на: комментарий от entefeed 16.07.15 16:16:36 MSK

Да сволочи. У них есть VPN-IPMI. только он не фурычит из за хайлоада. А квм не дают из за security purposes...

И какой нищебродский тариф на железке с 24 ядрами и 128гб оперативки ? они мне должны пятки целовать что у меня там парк таких штук :D

travka ★
(16.07.15 16:22:14 MSK) автор топика

Ответ на: комментарий от Amet13 16.07.15 16:18:35 MSK

Чтот похожее. Сейчас попробую открутить его. Тяжело очень без kvm.

travka ★
(16.07.15 16:27:29 MSK) автор топика

Ответ на: комментарий от travka 16.07.15 16:03:59 MSK

Под 10.04 есть fuse-zfs.

x3al ★★★★★
(16.07.15 16:37:36 MSK)

Ссылка

Ответ на: комментарий от Amet13 16.07.15 16:18:35 MSK

This? http://blog.amet13.name/2015/05/linux.html

У меня к тебе два вопроса по тексту по ссылке.

1. «На сервере (CentOS 6) периодически стали возникать с сетью, большая часть пингов приходили с ошибкой.» - Кто стали возникать?

2. «Вывод: нужно подбирать нормальные пароли.» - Как нужно подбирать нормальные пароли?

anonymous
(16.07.15 17:01:59 MSK)

Ответ на: комментарий от anonymous 16.07.15 17:01:59 MSK

Кто стали возникать?

Спасибо, поправил.

Как нужно подбирать нормальные пароли?

Сдавал клиенту сервер, в качестве временного пароля использовал 12345, чтобы не париться со сложным паролем в IPMI. Сказал клиенту чтобы обязательно сменил пароль на нормальный. Оказывается он пропустил это указание мимо ушей. С тех пор я даже в IPMI временные пароли генерю через pwgen.

~~Amet13~~ ★★★★★
(16.07.15 17:05:38 MSK)

Ответ на: комментарий от travka 16.07.15 16:27:29 MSK

Открутил.

От себя добавлю.

Не нашел никакой либы в /lib

1. Удалял хитрожопым методом.

сделал echo > lib/libudev.so && chattr +i /lib/libudev.so

тоже самое с gcc.sh

удалил из автостарта всю херню и так же из /etc/init.d и /usr/bin

Где еще проверить что бы убедится что эта пакость не осталась в железке ?

travka ★
(16.07.15 17:08:58 MSK) автор топика

Мастер нода словила троян через CT

Какая версия ядра?

Вроде как слышал, что через вот эту уязвимость можно было что-то намутить: https://bugzilla.openvz.org/show_bug.cgi?id=3256

~~Amet13~~ ★★★★★
(16.07.15 17:10:43 MSK)

Ссылка

Ответ на: комментарий от travka 16.07.15 16:22:14 MSK

Это не очень железки. )

peregrine ★★★★★
(16.07.15 17:11:04 MSK)

Ответ на: комментарий от travka 16.07.15 17:08:58 MSK

Не нашел никакой либы в /lib

Видимо это было с чем-то другим связано.

Где еще проверить что бы убедится что эта пакость не осталась в железке ?

find на свежеизмененные файлы

~~Amet13~~ ★★★★★
(16.07.15 17:12:55 MSK)

Ссылка

Ответ на: комментарий от Amet13 16.07.15 17:05:38 MSK

Сдавал клиенту сервер, в качестве временного пароля использовал 12345, чтобы не париться со сложным паролем в IPMI. Сказал клиенту чтобы обязательно сменил пароль на нормальный. Оказывается он пропустил это указание мимо ушей. С тех пор я даже в IPMI временные пароли генерю через pwgen.

А-а, я-то думал появился способ подбирать пароли, которые в хеше не имеют коллизий с тем же 12345. Ведь обидно же будет - ты изобрёл какой-нибудь сложнейший пароль D^TvcD&252goeitueoi*9)«63487468736llKH, мучаешься с ним каждый раз, а потом злоумышленник р-раз, набрал 12345 и получил доступ. Потому, что хеши случайно совпали.

anonymous
(16.07.15 17:16:12 MSK)

Ссылка

Ответ на: комментарий от peregrine 16.07.15 17:11:04 MSK

^_^

travka ★
(16.07.15 17:34:43 MSK) автор топика

Ссылка

Ответ на: комментарий от Amet13 16.07.15 17:05:38 MSK

Сдавал клиенту сервер, в качестве временного пароля использовал 12345, чтобы не париться со сложным паролем в IPMI. Сказал клиенту чтобы обязательно сменил пароль на нормальный.

Боты долбятся на 22/2222/etc. порты по моему опыту в среднем раз в 10-20 минут. Причем вне зависимости от того, был ли твой IP-адрес раньше доступен или нет, можешь даже сам провести эксперимент. Так что ставить даже временный пароль на сервер, с торчащим наружу SSH — это ССЗБ.

edigaryev ★★★★★
(16.07.15 18:12:38 MSK)