Взломали копутер. Вообще-то, сейчас я им рулю, но он - моего коллеги, с которым
мне не охота связываться. Он его "одевал" в SuSE 7.0, а сейчас на год слинял
в другой город. Что он там наставил, трудно разгрести, но, вот, на днях ломанули.
Наверное, через sshd 1.2.27, кажется. На нем никто не работает, стоит себе в углу...
"Деструкцию" производил LKM rootkits, а рулили компьютером через демон
sshd2 с ключом -q
Я погасил сетку ifconfig eth0 down и стал копаться. Все разобрал,
много чего позаменяли, я сейчас "для порядку" всю систему переставляю.
Обнаружил процесс ssh2d -q , который сушал некий порт. ps ls netstat
его/файл не видят - LKM, да и бинарники заменили! - но некими нетривиальными прогами
я узрел, что процесс этот держит сокет на порту 4256, который уже закрыт, но remote IP
адрес его остался! Реальная машина, я ее даже WEBом посмотрел - страничка состоит из
надписи Cum Swallowing Sluts
ВОПРОС: этот IPшник - действительно то, откуда мною рулили, или же одна из жертв?
Очень охота найти козла! :)
Если кто откликнется, напишу все подробности - какие файлы заменили,
с какими ext2 атрибутами, куда спрятали оригинальные файлы.
Помогайте, никогда security не интересовался - до позавчерашнего дня :)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум [Пятница] Задорные червяки (2011)
- Форум Червяков ищу родных =) (2007)
- Форум муравей залез в матрицу экрана (2024)
- Форум Залез в дневник к Каданову (2008)
- Форум Опасны ли черешневые червяки для человека? (2015)
- Форум По следам червяка, сквозь тернистую червоточину. (2017)
- Форум [Нытик-тред][Паразиты]Нашёл у себя червяка. (2009)
- Форум Смесь Червяков с Little Big Planet = Organic Panic (2013)
- Форум Как получить хорошой звук от ПК, не залезая вовнутрь? (2005)
- Форум Залез на пожарную башню в лесу на 3й неделе КОВИДА-19 (болею): vlog (2020)