Взлом системы

3

3

Бодрого времени суток. Есть система на 2.6.30-gentoo-r8 #4 SMP. Запустил top и вижу что проц юзает процесс с именем agpbhshild, прибил его, в результате запустился новый процесс имя которого просто набор букв, прибил и этот - все заново. При этом исходящий трафик был на полную катушку. iptraff'ом увидел что идет исход на порты 80, 8000, 8005\6 - прибил все это дело вроде инет ожил, но болезнь то не полечина. Запустил rkhunter - ничего особого не увидел. Куда копать подскажите??? Систему заново поставить не предлагать :-)

Ссылка

←	Переброска между инстансами postfix

CUCME & Asterisk

→

Систему заново поставить не предлагать

А почему собственно? Бинарники и ядро накатить из реп вполне нормально.

no-such-file ★★★★★
(29.10.14 11:48:59 MSK)

Ответ на: комментарий от no-such-file 29.10.14 11:48:59 MSK

я систему обновлял очень давно (года 2 назад т.к. ввязался в 1С и до этого уже руки не доходят). Если обновиться я думаю геммора будет столько что .....

Dekan
(29.10.14 11:51:10 MSK) автор топика

надо было посмотреть откуда стартует процесс какие фалы юзает.

axelroot ★
(29.10.14 11:53:06 MSK)

Смотри, кто эти процессы форкает.

anonymous
(29.10.14 11:53:09 MSK)

Ссылка

Систему заново поставить не предлагать :-)

Если нет идей, как вредонос попал в систему, то это тебе и не поможет.

d2 ★
(29.10.14 11:55:42 MSK)

Ссылка

http://www.linuxcenter.ru/lib/articles/system/bulgar.phtml

sin_a ★★★★★
(29.10.14 11:58:34 MSK)

Ссылка

Ответ на: комментарий от Dekan 29.10.14 11:51:10 MSK

Обновляться в любом случае надо, иначе потом снова что-нибудь схватишь.

anonymous
(29.10.14 12:00:42 MSK)

Ссылка

Ответ на: комментарий от axelroot 29.10.14 11:53:06 MSK

как бы не совсем пойму как ибо имя то у него всегда разное.

Dekan
(29.10.14 12:11:47 MSK) автор топика

Ответ на: комментарий от Dekan 29.10.14 12:11:47 MSK

ps afx ?

sin_a ★★★★★
(29.10.14 12:14:07 MSK)

Ссылка

Ответ на: комментарий от Dekan 29.10.14 12:11:47 MSK

lsof -i

sockstat

lsof -p `pidof злаякака`

axelroot ★
(29.10.14 12:14:41 MSK)

Куда копать подскажите???

Сперва найти список всего что имеет бит исполнимости и при этом не относится ни к одному из установленных в систему ebuild-ов. Ну а дальше ты понял да?

init_6 ★★★★★
(29.10.14 12:14:43 MSK)

Ссылка

Прод сервер на генту. А гента это там, где все компилять надо и набор средств резработчика всегда стоит ? Для удобства злоумышленников ? Куда копать, говоришь ?

handbrake ★★★
(29.10.14 12:42:45 MSK)

Ссылка

Ответ на: комментарий от axelroot 29.10.14 12:14:41 MSK

http://screencloud.net/v/ob8H Вот что получается в boot лежит файл что выполняется, я его оттуда удалю после этого кильну процесс с пидом процесса что и имя файла после этого все заново, в Boot снова ляжет файл и именем и все заново

Dekan
(29.10.14 13:05:12 MSK) автор топика

Ответ на: комментарий от Dekan 29.10.14 13:05:12 MSK

ls -la /proc/8653/ | grep exe

или

readlink -f /proc/8653/exe

axelroot ★
(29.10.14 13:10:06 MSK)

Только бэкап данных которые еще остались и перестановка. Просто уже нет гарантии, что ssh к которому ты подключился, действительно твой ssh, а не другой бинарник. Твой top тоже может уже не принадлежать тебе и т.д.
Думаю, ход моих мыслей понятен.

anonymous_sama ★★★★★
(29.10.14 13:11:08 MSK)

Ответ на: комментарий от anonymous_sama 29.10.14 13:11:08 MSK

Я понял ход мыслей, понять что мое а что не мое не получится т..к нет того с чем можно сравниться

Dekan
(29.10.14 13:14:06 MSK) автор топика

Ответ на: комментарий от axelroot 29.10.14 13:10:06 MSK

readlink -f /proc/11042/exe /boot/uhsgnhuytd все ведет на файл в /boot вопрос как он туда попадает??

Dekan
(29.10.14 13:18:43 MSK) автор топика

Ссылка

Ответ на: комментарий от axelroot 29.10.14 13:10:06 MSK

veltonwhserver ~ # ls -la /proc/11042 total 0 dr-xr-xr-x 7 root root 0 Oct 29 12:05 .

dr-xr-xr-x 211 root root 0 Oct 29 2014 ..

dr-xr-xr-x 2 root root 0 Oct 29 12:17 attr

-r-------- 1 root root 0 Oct 29 12:17 auxv

-r--r--r-- 1 root root 0 Oct 29 12:17 cgroup

--w------- 1 root root 0 Oct 29 12:17 clear_refs

-r--r--r-- 1 root root 0 Oct 29 12:17 cmdline

-rw-r--r-- 1 root root 0 Oct 29 12:17 coredump_filter

-r--r--r-- 1 root root 0 Oct 29 12:17 cpuset

lrwxrwxrwx 1 root root 0 Oct 29 12:06 cwd -> /

-r-------- 1 root root 0 Oct 29 12:17 environ

lrwxrwxrwx 1 root root 0 Oct 29 12:05 exe -> /boot/uhsgnhuytd dr-x------ 2 root root 0 Oct 29 12:06 fd

dr-x------ 2 root root 0 Oct 29 12:06 fdinfo

-r--r--r-- 1 root root 0 Oct 29 12:17 io

-r-------- 1 root root 0 Oct 29 12:17 limits

-rw-r--r-- 1 root root 0 Oct 29 12:17 loginuid

-r--r--r-- 1 root root 0 Oct 29 12:06 maps

-rw------- 1 root root 0 Oct 29 12:17 mem

-r--r--r-- 1 root root 0 Oct 29 12:17 mountinfo

-r--r--r-- 1 root root 0 Oct 29 12:17 mounts

-r-------- 1 root root 0 Oct 29 12:17 mountstats

dr-xr-xr-x 9 root root 0 Oct 29 12:05 net

-rw-r--r-- 1 root root 0 Oct 29 12:17 oom_adj

-r--r--r-- 1 root root 0 Oct 29 12:17 oom_score

-r-------- 1 root root 0 Oct 29 12:17 pagemap

-r-------- 1 root root 0 Oct 29 12:17 personality

lrwxrwxrwx 1 root root 0 Oct 29 12:06 root -> /

-r--r--r-- 1 root root 0 Oct 29 12:17 schedstat

-r--r--r-- 1 root root 0 Oct 29 12:17 sessionid

-r--r--r-- 1 root root 0 Oct 29 12:17 smaps

-r-------- 1 root root 0 Oct 29 12:17 stack

-r--r--r-- 1 root root 0 Oct 29 12:05 stat

-r--r--r-- 1 root root 0 Oct 29 12:05 statm

-r--r--r-- 1 root root 0 Oct 29 12:17 status

-r-------- 1 root root 0 Oct 29 12:17 syscall

dr-xr-xr-x 6 root root 0 Oct 29 12:17 task

-r--r--r-- 1 root root 0 Oct 29 12:17 wchan

вот такой список

Dekan
(29.10.14 13:21:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Dekan 29.10.14 13:14:06 MSK

Более того, поднять все заново займет меньше времени, чем разобраться с тем, что реально могло быть скомпрометировано. Хотя с точки зрения, любопытства я бы порекомендовал, сохранить все любопытные вещи отдельно, для последующего изучения.
И да пожалуй первое, что нужно было сделать, это переставить пакет ssh в в твоем дистрибутиве, поменять порт ssh со стандартного, если он вдруг у тебя висит на стандартном, и дропнуть в firewall'ом все порты кроме ssh, и возможно веб-сервера, если он критичен. Ну еще конечно, если простой скажем веб-сервера критичен, то можно поднять его на другом хосте, и поменять А записи на него. И спокойно уже заниматься со взломанным серваком.

anonymous_sama ★★★★★
(29.10.14 13:26:45 MSK)

Ответ на: комментарий от anonymous_sama 29.10.14 13:26:45 MSK

Спасибо. Буду делать новый сервант. На какой ОС порекомендуете???

Dekan
(29.10.14 13:30:16 MSK) автор топика

Ответ на: комментарий от Dekan 29.10.14 13:30:16 MSK

windows, у тебя не линуксячие привычки, используй систему с близкой тебе идеологией

handbrake ★★★
(29.10.14 13:34:53 MSK)

Ссылка

Ответ на: комментарий от Dekan 29.10.14 13:30:16 MSK

То, с чем лучше разбираешься, дело вкуса, ну и конечно это должен быть GNU/Linux, мы ведь на лоре. А так им разницы нет, главное чтобы дистрибутива было свое сообщество, и в случае чего не пришлось очень сильно жалеть, что связался с продуктом, которым пользуются 2,5 человека и под который не выходят обновления безопасности.

anonymous_sama ★★★★★
(29.10.14 13:36:38 MSK)

Ссылка

откажись от проекта, пусть этим займется кто-то другой. Это кто-то другой уже не будет связан с предыдущей работой, и ему будет проще.

~~stevejobs~~ ★★★★☆
(29.10.14 19:02:26 MSK)

Ссылка

Поставить заново систему.

~~ktulhu666~~ ☆☆☆
(29.10.14 19:39:37 MSK)

Ссылка

Ответ на: комментарий от Dekan 29.10.14 11:51:10 MSK

давно не обновлялись, попробуйте обновится

Nuzhen_tolko_lin
(30.10.14 09:46:42 MSK)

Ссылка

Ответ на: комментарий от Dekan 29.10.14 13:30:16 MSK

Твой совет не принят.

Dekan
(30.10.14 10:06:57 MSK) автор топика

Ссылка

Ответ на: комментарий от Dekan 29.10.14 11:51:10 MSK

я систему обновлял очень давно (года 2 назад т.к. ввязался в 1С и до этого уже руки не доходят)

Какие сервисы смотрят в инет? Вангую шелшок.
Вначале нужно понять как оно проникло и закрыть дыру, иначе толку нет - даже если удалишь этого трояна, пролезет новый.

KillTheCat ★★★★★
(30.10.14 10:21:09 MSK)