LINUX.ORG.RU

словил руткит или какую-то дрянь

 , ,


1

4

Случайно заметил исходящий трафик на максимальной скорости. Посмотрел через tcpdump - уходит всё в Китай. через iptables обрубил исходящий трафик на адрес, через секунду трафик пошёл на новый.

В htopпериодически появляются процессы под безобидными именами sleep, ls, etc которые грузят проц на 200% и устанавливают соединение на Через lsof выяснил, что запускает эту штуку бинарник в /usr/bin, и для каждого процесса бинарник новый.

В кроне чисто, как запускается - не знаю, ssh только по ключам, на не стандратном порту, в браузере носкрипт и блокираторы.

Собственно, важных данных на ноуте нет, пока слежу за развитием событий.

Вопроса два:

1)как можно узнать, какой демон создаёт новые бинарники?

2)Интересно кому бинарники посмотреть? Могу выложить.

_________ fedora 24 64bit

★★★★

Последнее исправление: PunkoIvan (всего исправлений: 1)
Ответ на: комментарий от alexnorton

в каких именно? в логах ядра ничего, в системном тоже.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от Zomba444ok

да, но нет :)

Причина в стандартном пароле для судоюзера - я часто меняю дистрибутивы для экспериментов и секурный пароль не нужен, так как система долго не живёт.

Но за совет спасибо, как только Леннарт признает системд своей ошибкой, или убунта перейдёт на Mir, то я задумаюсь над переходом на винду :)

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от alexnorton

Таки нашёл в messages

 Sep 18 21:53:18 audit: CRED_REFR pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=
pam_env,pam_fprintd acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'  

Sep 18 21:53:18 audit: USER_START pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_open gra
ntors=pam_limits,pam_limits,pam_systemd,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'    

                        
Sep 18 21:53:18 audit: USER_END pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_close gran
tors=pam_limits,pam_limits,pam_systemd,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'                             


Sep 18 21:53:18 audit: CRED_DISP pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=
pam_env,pam_fprintd acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от alexnorton

Та машина одна, это домашний ноут для всяких тестов. На проде за такую хрень я сам себе руки оторвал бы :) Будем смотреть дальше.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Причина в стандартном пароле для судоюзера - я часто меняю дистрибутивы для экспериментов и секурный пароль не нужен, так как система долго не живёт.

А на машину как попало? Ты ж указал что по ключам подключение.

TEX ★★★
()

Возможно и по ключам и по паролю одновременно.

периодически появляются процессы под безобидными именами sleep, ls, etc которые грузят проц на 200%

Это майнер, скорей всего ты там найдешь бинарник майнера, и что-нибудь для сбора информации о конфигурации и дистрибутиве, на котором все это работает, и статус активности майнера. Короче говоря у сабжа быть незамеченным и собирать информацию о тебе, задача не стоит.
Да вполне возможно, что ты просто заблокировал ip-адрес пула, а не адрес «коллектора» злоумышленника.

anonymous_sama ★★★★★
()
Ответ на: комментарий от TEX

Вот это для меня самый интересный вопрос. К ноуту я удалённо практически не подключаюсь. Скорее всего через один из браузеров, потому что из всего зоопарка настроен только основной фирефохе.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от anonymous_sama

не, пароль отключён, рут доступ отключён, порт не стандартный.

Тоже задумывался о майнере.

Я смотрю через нетстат и блокирую новые подключения.

В любом случае, как я понимаю, вычистить эту дрянь тяжело. Буду ковырять логи, может прибью засранца :)

а так всё равно на тестинг буду переходить.

PunkoIvan ★★★★
() автор топика

ахаха, вот это ты лапоть, поразительно, что можно делать со своей системой, чтобы допустить такое.

slon
()
Ответ на: комментарий от slon

Да элементарноо - пренебречь базовыми настройками безопасности. Не благодари :)

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от Aleksandra

Ок, как домой приду - выложу на какой-нибудь яндекс.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от Aleksandra

в общем, ничего интересного. Проверил в инетике файл. Trojan.Linux.Xorddos.G

Ничего инетерсного, кроме вопроса, как эта херня попала.

то что пароль был в первой 20 словарей это факт, но откуда-то оно сюда попало же.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

но откуда-то оно сюда попало же.

Боты же. У меня даже подкроватный сервер, который не отвечает на пинги, постоянно сканят.

как я понимаю, вычистить эту дрянь тяжело

Время переустанавливать линукс.

Я серьезно.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

см. мой пост выше. Кажется, вычистил по рекомендациям аваста и симантека. А вообще, у меня дистры долго не живут, меняю.

И сканят-то сканят, но вроде дыр не было. Разве что сам притащил, когда компилил софт специфический.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Скорее всего брут-форс ssh, а затем установка самого трояна с помощью шелл-скрипта. А что в логах совсем ничего подозрительного нет?

Хоть хэш файла выложите.

Aleksandra
()
Ответ на: комментарий от Aleksandra

брут форса ссш не могло быть в принципе - авторизацию по паролю и рута я отключаю сразу же.

Только ключи.

Кстати, а как можно передать этот файл? Яндекс сразу орёт, что заражён. Я себе копию оставил.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Нужно было предварительно сжать этот файл с помощью zip с паролем virus или infected, но для меня и ссылки будет достаточно. Спасибо!

Aleksandra
()
Ответ на: комментарий от Aleksandra

спасибо. А что надеетесь интересного в файле найти? Будете дизассемблировать?

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Если сам не налажал с настройками может быть не проапдейтил вовремя что-то с багами в безопасности. Или дистроделатели клювом прощелкали. В принципе возможно и что 0-day какой-то использовался для проникновения.

Что за система, насколько часто обновляется?

anonymous_incognito ★★★★★
()
Последнее исправление: anonymous_incognito (всего исправлений: 1)
Ответ на: комментарий от anonymous_incognito

Федора 24, обновляю раз в недельку примерно. С настройками пролажал только в пароле судоюзера, но на локалхост как-то ЭТО должно было попасть.

Иногда собираю из сорцов разную срань - может тут причина.

И еще использую старенькую Оперу - тоже дыры, есть скорее всего.

Кстати, вылечил без переустановки, брат жив.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

И еще использую старенькую Оперу - тоже дыры, есть скорее всего.

Вообще-то в Опере дыры находили. Хотя, если это версия 12.16 по идее там пофикшены были основные.

Пароль судоюзера как я понял тоже не тривиальный был, так что не очень и налажал.

Может быть, что-то вообще случайное, быстро забытое.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

В 12.17 пофикшены, но для линукса этой версии нет. Пароль у него как раз таки тривиальный, он сам не один раз это повторил.

man_of_motley ★★
()
Ответ на: комментарий от PunkoIvan

Естественное предположение тогда, что проникли через Opera, а потом подобрали пароль. Хотя смущает, что процент пользователей 12.16 намного меньше 1%, так насколько знаю массовые проникновения для ботнета не делают. Хотя кто знает, может там где-то БД с эксплоитами на разные User Agent.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Кто его знает, я мог с софтом притянуть с одной из репок гита.

Гадать уже бессмысленно.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Кстати, вылечил без переустановки, брат жив.

без переустановки

вылечил

Главное верь в это. Крепко верь. Поскольку развеять сомнения, если они появятся, сможет только переустановка заведомо чистой системы. Некоторые предпочитают точно знать, а некоторым достаточно веры.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

я человек не верующий, так что не верю. На данный момент htop, tcpdump, netstat, исследование ФС показали отсутствие левых файлов, подключений, процессов.

Но систему буду переустанавливать скоро - хочу убунточку 16.04 потыкать.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от anonymous_incognito

Надеюсь, что нет. Действительно, ты прав. Гит совсем маловероятен.

PunkoIvan ★★★★
() автор топика

В кроне чисто, как запускается - не знаю, ssh только по ключам, на не стандратном порту, в браузере носкрипт и блокираторы.

fedora 24 64bit

RPM Fusion подключал? http://www.securitylab.ru/news/455784.php

newpunkies
()
Последнее исправление: newpunkies (всего исправлений: 1)
Ответ на: комментарий от newpunkies

Да, подключены. Но новость тухлая - 2014 год.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от anonymous

Под каким ковриком? В дефолтном месте или что? Да, в хомяке.

Кстати, если кому интересно -rkhunter не нашёл эту хрень.

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от anonymous_sama

Это майнер

Либо дос-бот, который тратит все процессорное время на такое:

int sock = socket(AF_INET, SOCK_DGRAM, 0);
sendto(sock, ..., IP, ....)

anonymous
()

Могу подсказать как такую дрянь словить в виртуалку :) Ставишь slackware A + openSSH. Ставишь пароль 111 на root. И ждёшь. Через день можешь окунаться в дивный мир китайщины.

menangen ★★★★★
()
Ответ на: комментарий от menangen

Я думаю через пару часов, а не через день :)

PunkoIvan ★★★★
() автор топика
Ответ на: комментарий от PunkoIvan

Потому, что он не пытается трогать системные файлы, ставить хуки, etc. Со стороны системы(rkhunter) все выглядит легально. Вот если бы, в тот момент когда происходило повышение привилегий(если такое вообще было) rkhunter мониторил систему, вот тогда, скорее всего, он был бы обнаружен.

fang90 ★★★★★
()
Ответ на: комментарий от fang90

то есть он должен в режиме демона работать чтоль? и да - libudev не системный?

PunkoIvan ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.