LINUX.ORG.RU

словил руткит или какую-то дрянь

 , ,


1

4

Случайно заметил исходящий трафик на максимальной скорости. Посмотрел через tcpdump - уходит всё в Китай. через iptables обрубил исходящий трафик на адрес, через секунду трафик пошёл на новый.

В htopпериодически появляются процессы под безобидными именами sleep, ls, etc которые грузят проц на 200% и устанавливают соединение на Через lsof выяснил, что запускает эту штуку бинарник в /usr/bin, и для каждого процесса бинарник новый.

В кроне чисто, как запускается - не знаю, ssh только по ключам, на не стандратном порту, в браузере носкрипт и блокираторы.

Собственно, важных данных на ноуте нет, пока слежу за развитием событий.

Вопроса два:

1)как можно узнать, какой демон создаёт новые бинарники?

2)Интересно кому бинарники посмотреть? Могу выложить.

_________ fedora 24 64bit

★★★★

Последнее исправление: PunkoIvan (всего исправлений: 1)
Ответ на: комментарий от Aleksandra

брут форса ссш не могло быть в принципе - авторизацию по паролю и рута я отключаю сразу же.

Только ключи.

Кстати, а как можно передать этот файл? Яндекс сразу орёт, что заражён. Я себе копию оставил.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Нужно было предварительно сжать этот файл с помощью zip с паролем virus или infected, но для меня и ссылки будет достаточно. Спасибо!

Aleksandra
()
Ответ на: комментарий от Aleksandra

спасибо. А что надеетесь интересного в файле найти? Будете дизассемблировать?

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от anonymous

Под каким ковриком? В дефолтном месте или что? Да, в хомяке.

Кстати, если кому интересно -rkhunter не нашёл эту хрень.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Потому, что он не пытается трогать системные файлы, ставить хуки, etc. Со стороны системы(rkhunter) все выглядит легально. Вот если бы, в тот момент когда происходило повышение привилегий(если такое вообще было) rkhunter мониторил систему, вот тогда, скорее всего, он был бы обнаружен.

fang90 ★★★★★
()
Ответ на: комментарий от fang90

то есть он должен в режиме демона работать чтоль? и да - libudev не системный?

PunkoIvan ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.