LINUX.ORG.RU

Ответ на: комментарий от Deleted

Так себе знак :( Там живой магазин крутится. Только что прибил процесс - сразу запустился новый, thtyoezbam

Madmoor
() автор топика

Судя по поведению вангую какой-то руткит+довесок (спам рассылка, шелл etc).

Twissel ★★★★★
()
Ответ на: комментарий от a1batross

Майнер грузил бы ядра. Просто клиент ботнета. Будешь слать спам и иногда ддосить кого-нибудь. Ничего страшного.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Ну может он для незаметности грузит одно ядро из множества? :)

a1batross ★★★★★
()
Ответ на: комментарий от Madmoor

Ну тогда это ещё знак, что надо делать бэкапы.

Deleted
()

Ддосилка. Говнокод, вот это всё. Вырубай эту весту, грузись в single-user и вычищай. Больше никогда не включай.

Где-то даже гайд был как совсем вычистить, но уже не помню. Дыру нашли пару месяцев назад

nutsandmilk ★★★
()

Стандартное дело. Ломанули вас. Возможно заюзали уязвимость весты, что месяца два назад раскрыли. Но на всякий случай просмотрите логи ssh, с не меньше вероятностью может оказаться, что какие-то товарищи(частенько так балуются китайские товарищи) просто сбрутили ваш пароль(нередко такое происходит на серверах с ssh со стандартным портом и без ограничения на доступ к порту ssh по IP-адресу). Что-бы понять что за зверь, сделайте

sha256sum /usr/bin/hheiqwuwfu

и пробейте хэш на https://www.virustotal.com/ru/ и других ресурсах.

Думаю, вам rootkit hunter нужен. Можете заодно maldet от корня запустить в бэграуде, посмотреть что ещё он найдёт на вашей тачке. Обычно если у злоумышленников есть root, то они заразу прячут в /tmp/, /var/tmp, /boot/, bin, /usr/bin/, реже в /usr/sbin. Кроме того частенько подменяют либу торчащего наружу сервиса на свою с бэкдором.

Так как в сложных случаях попытка вычислить и вычистить все произведённые злоумышленниками изменения на тачке - это заведомо очень трудоёмкое дело, стоит подумать что для вас проще: вычистить всю заразу, проверить не были ли модифицированы конфиги тех или иных сервисов, системные файлы, либы и бинарники - или по быстрому сделать бэкапы, пересетапить сервачёк и развернуть из бэкапов ваш проект.

Что-бы простой был минимальный, можно взять аналогичный сервак, установить и настроить на нём всё как нужно(лучше, чем в прошлый раз настроить критические сервисы вроде ssh, поставить тот же fail2ban, сменить порт ssh на нестандартный или настроить ограничение по IP или порт-кнокинг), синкануть туда данные проекта и файлы БД не останавливая проект, затем запланировать небольшой простой, стопнуть соответствующие сервисы, синкануть данные сайта и БД повторно, запустить нужные сервисы на новом сервачке, а со старого настроить на время смены А-записей в кэшах DNS проксирование на новый, подождать сутки-двое и полностью погасить старый сервачёк.

Поверьте, вариант с ресетапом или миграцией проекта на чистый сервак будет для вас менее хлопотным, чем длительный процесс чистки сервака.

lucentcode ★★★★★
()
Последнее исправление: lucentcode (всего исправлений: 1)
Ответ на: комментарий от Madmoor

UPD. Очень благодарен, это оказался тот самый gcc.sh. Инструкция по удалению помогла вроде, буду следить.

Madmoor
() автор топика
Ответ на: комментарий от Madmoor

Проще сделать нового чем этого лечить (с) Вам выше написали, переставляйте сервак. Следить смысла не много. Хз что, кто и куда еще запихнул, можете и не обнаружить.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.