словил руткит или какую-то дрянь

А в логах что?

Эти процессы запущены от имени root? Если так, то тебе стоит вернуться на windows.

в каких именно? в логах ядра ничего, в системном тоже.

да, но нет :)

Причина в стандартном пароле для судоюзера - я часто меняю дистрибутивы для экспериментов и секурный пароль не нужен, так как система долго не живёт.

Но за совет спасибо, как только Леннарт признает системд своей ошибкой, или убунта перейдёт на Mir, то я задумаюсь над переходом на винду :)

Таки нашёл в messages

 Sep 18 21:53:18 audit: CRED_REFR pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=
pam_env,pam_fprintd acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'  

Sep 18 21:53:18 audit: USER_START pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_open gra
ntors=pam_limits,pam_limits,pam_systemd,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'    

                        
Sep 18 21:53:18 audit: USER_END pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_close gran
tors=pam_limits,pam_limits,pam_systemd,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'                             


Sep 18 21:53:18 audit: CRED_DISP pid=16336 uid=0 auid=1000 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=
pam_env,pam_fprintd acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/5 res=success'

Ну вот,молодцом. Копай дальше,если есть охота. Заодно на остальных машинах логи проверь.

Та машина одна, это домашний ноут для всяких тестов. На проде за такую хрень я сам себе руки оторвал бы :) Будем смотреть дальше.

Причина в стандартном пароле для судоюзера - я часто меняю дистрибутивы для экспериментов и секурный пароль не нужен, так как система долго не живёт.

А на машину как попало? Ты ж указал что по ключам подключение.

Возможно и по ключам и по паролю одновременно.

периодически появляются процессы под безобидными именами sleep, ls, etc которые грузят проц на 200%

Это майнер, скорей всего ты там найдешь бинарник майнера, и что-нибудь для сбора информации о конфигурации и дистрибутиве, на котором все это работает, и статус активности майнера. Короче говоря у сабжа быть незамеченным и собирать информацию о тебе, задача не стоит.
Да вполне возможно, что ты просто заблокировал ip-адрес пула, а не адрес «коллектора» злоумышленника.

Вот это для меня самый интересный вопрос. К ноуту я удалённо практически не подключаюсь. Скорее всего через один из браузеров, потому что из всего зоопарка настроен только основной фирефохе.

не, пароль отключён, рут доступ отключён, порт не стандартный.

Тоже задумывался о майнере.

Я смотрю через нетстат и блокирую новые подключения.

В любом случае, как я понимаю, вычистить эту дрянь тяжело. Буду ковырять логи, может прибью засранца :)

а так всё равно на тестинг буду переходить.

Это майнер

+1

ахаха, вот это ты лапоть, поразительно, что можно делать со своей системой, чтобы допустить такое.

Бинарники выложите...

Да элементарноо - пренебречь базовыми настройками безопасности. Не благодари :)

Ок, как домой приду - выложу на какой-нибудь яндекс.

в общем, ничего интересного. Проверил в инетике файл. Trojan.Linux.Xorddos.G

Ничего инетерсного, кроме вопроса, как эта херня попала.

то что пароль был в первой 20 словарей это факт, но откуда-то оно сюда попало же.

но откуда-то оно сюда попало же.

Боты же. У меня даже подкроватный сервер, который не отвечает на пинги, постоянно сканят.

как я понимаю, вычистить эту дрянь тяжело

Время переустанавливать линукс.

Я серьезно.

см. мой пост выше. Кажется, вычистил по рекомендациям аваста и симантека. А вообще, у меня дистры долго не живут, меняю.

И сканят-то сканят, но вроде дыр не было. Разве что сам притащил, когда компилил софт специфический.

Скорее всего брут-форс ssh, а затем установка самого трояна с помощью шелл-скрипта. А что в логах совсем ничего подозрительного нет?

Хоть хэш файла выложите.

брут форса ссш не могло быть в принципе - авторизацию по паролю и рута я отключаю сразу же.

Только ключи.

Кстати, а как можно передать этот файл? Яндекс сразу орёт, что заражён. Я себе копию оставил.

https://www.virustotal.com/ru/file/1d385347d54ffc34fd488a23ea2fda9dfd634462b0...

откроется ссылка у вас?

Нужно было предварительно сжать этот файл с помощью zip с паролем virus или infected, но для меня и ссылки будет достаточно. Спасибо!

да, пароль virus сработал, спасибо. Это какая-то договорённость у всех?

https://yadi.sk/d/Az63zcoUvQJTA

Такая договоренность существует у антивирусных компаний.

спасибо. А что надеетесь интересного в файле найти? Будете дизассемблировать?

Если сам не налажал с настройками может быть не проапдейтил вовремя что-то с багами в безопасности. Или дистроделатели клювом прощелкали. В принципе возможно и что 0-day какой-то использовался для проникновения.

Что за система, насколько часто обновляется?

Федора 24, обновляю раз в недельку примерно. С настройками пролажал только в пароле судоюзера, но на локалхост как-то ЭТО должно было попасть.

Иногда собираю из сорцов разную срань - может тут причина.

И еще использую старенькую Оперу - тоже дыры, есть скорее всего.

Кстати, вылечил без переустановки, брат жив.

И еще использую старенькую Оперу - тоже дыры, есть скорее всего.

Вообще-то в Опере дыры находили. Хотя, если это версия 12.16 по идее там пофикшены были основные.

Пароль судоюзера как я понял тоже не тривиальный был, так что не очень и налажал.

Может быть, что-то вообще случайное, быстро забытое.

В 12.17 пофикшены, но для линукса этой версии нет. Пароль у него как раз таки тривиальный, он сам не один раз это повторил.

12.16, build 1860.

пароль из разряда йцукен. Был.

Естественное предположение тогда, что проникли через Opera, а потом подобрали пароль. Хотя смущает, что процент пользователей 12.16 намного меньше 1%, так насколько знаю массовые проникновения для ботнета не делают. Хотя кто знает, может там где-то БД с эксплоитами на разные User Agent.

Кто его знает, я мог с софтом притянуть с одной из репок гита.

Гадать уже бессмысленно.

Были прецеденты, что на гит в не взломанном аккаунте выкладывали троянцев в исходниках?

Кстати, вылечил без переустановки, брат жив.

без переустановки

вылечил

Главное верь в это. Крепко верь. Поскольку развеять сомнения, если они появятся, сможет только переустановка заведомо чистой системы. Некоторые предпочитают точно знать, а некоторым достаточно веры.

я человек не верующий, так что не верю. На данный момент htop, tcpdump, netstat, исследование ФС показали отсутствие левых файлов, подключений, процессов.

Но систему буду переустанавливать скоро - хочу убунточку 16.04 потыкать.

Надеюсь, что нет. Действительно, ты прав. Гит совсем маловероятен.

В кроне чисто, как запускается - не знаю, ssh только по ключам, на не стандратном порту, в браузере носкрипт и блокираторы.

fedora 24 64bit

RPM Fusion подключал? http://www.securitylab.ru/news/455784.php

Да, подключены. Но новость тухлая - 2014 год.

Ключи небось «под ковриком» хранили?

Под каким ковриком? В дефолтном месте или что? Да, в хомяке.

Кстати, если кому интересно -rkhunter не нашёл эту хрень.

Это майнер

Либо дос-бот, который тратит все процессорное время на такое:

int sock = socket(AF_INET, SOCK_DGRAM, 0);
sendto(sock, ..., IP, ....)

Могу подсказать как такую дрянь словить в виртуалку :) Ставишь slackware A + openSSH. Ставишь пароль 111 на root. И ждёшь. Через день можешь окунаться в дивный мир китайщины.

Я думаю через пару часов, а не через день :)

-rkhunter не нашёл эту хрень

и не должен

А почему? Просто по описанию антивирей, это троян с руткитом, при чём известный.

Потому, что он не пытается трогать системные файлы, ставить хуки, etc. Со стороны системы(rkhunter) все выглядит легально. Вот если бы, в тот момент когда происходило повышение привилегий(если такое вообще было) rkhunter мониторил систему, вот тогда, скорее всего, он был бы обнаружен.

то есть он должен в режиме демона работать чтоль? и да - libudev не системный?