Помогите найти майнер

0

2

В top %Cpu(s):  50 us,
Процессы нагрузка на CPU 0.
netstat показал соединение на 45.141.100.24:37578 в "PID/Program name" прочерк
Закрыл соединение iptables
В top %Cpu(s):  0 us,

Как это работает? Модуль ядра? Как его найти?
Проверил md5 файлов все OK. Сделал apt-get install --reinstall...
не помогло.

Ссылка

←	Помогите с пониманием дела создать ZFS

NAT это не фаервол, говорили они. Говорили?

→

Проверь скрипты запуска системы на предмет свежих изменений файлов

~~Jopich1~~ ☆
(06.02.22 22:51:32 MSK)

netstat показал соединение на 45.141.100.24:37578 в «PID/Program name» прочерк

Запусти netstat еще раз только с sudo / от рута. Узнаешь PID дальше ищи через lsof -p $PID

hopheynananey ★
(06.02.22 23:14:55 MSK)

Ну, снимай шта^W показывай список процессов, можно сразу в виде дерева. Вместе с cmdline каждого.

slowpony ★★★★★
(07.02.22 01:19:46 MSK)

Ссылка

Как вы налинуксах умудряетесь подхватить заразу?

ox55ff ★★★★★
(07.02.22 01:30:34 MSK)

Ответ на: комментарий от ox55ff 07.02.22 01:30:34 MSK

была две недели назад похожая тема - через битрикс

anonymous
(07.02.22 01:33:02 MSK)

man ss (там и имя файла, создающего процесс, узнаешь)

anonymous
(07.02.22 01:34:20 MSK)

Ответ на: комментарий от Jopich1 06.02.22 22:51:32 MSK

Пусто

Spinel
(07.02.22 12:51:55 MSK) автор топика

Ответ на: комментарий от hopheynananey 06.02.22 23:14:55 MSK

Вы меня совсем за ламера то не держите)))

Spinel
(07.02.22 12:52:36 MSK) автор топика

Ссылка

Ответ на: комментарий от ox55ff 07.02.22 01:30:34 MSK

Не юзают ключи для ssh.

~~ololoid~~ ★★★★
(07.02.22 12:53:23 MSK)

Ответ на: комментарий от ololoid 07.02.22 12:53:23 MSK

Это был почти открытый сервер с пассом 111 по сути ханипод. Как защитится от подобных майнеров не проблема. Просто спортивный интерес как он спрятался

Spinel
(07.02.22 12:55:45 MSK) автор топика

Ответ на: комментарий от anonymous 07.02.22 01:34:20 MSK

# ss -p | grep 37578
tcp     ESTAB   0         0                               192.168.0.28:38064                                     45.141.100.24:37578

Не подскажешь какой процесс?

Spinel
(07.02.22 13:00:29 MSK) автор топика

Ответ на: комментарий от ox55ff 07.02.22 01:30:34 MSK

Берешь сервак, открываешь в инет, ставишь пасс 111

Spinel
(07.02.22 13:02:05 MSK) автор топика

Ссылка

Ответ на: комментарий от Spinel 07.02.22 12:55:45 MSK

Просто спортивный интерес как он спрятался

Вариантов много, скорее всего, подменил собою что-то безобидное.

~~ololoid~~ ★★★★
(07.02.22 14:02:34 MSK)

Ссылка

Ответ на: комментарий от Spinel 07.02.22 12:51:55 MSK

Ну попробуй вывести список линков в бинарных директориях

~~Jopich1~~ ☆
(07.02.22 14:47:01 MSK)

Ссылка

Ответ на: комментарий от Spinel 07.02.22 12:55:45 MSK

то есть ты просто балуешься?
попроси модераторов топик перенести в Talks

anonymous
(07.02.22 16:15:23 MSK)

Ссылка

Ответ на: комментарий от Spinel 07.02.22 13:00:29 MSK

Может и модуль ядра. https://www.trendmicro.com/en_us/research/19/i/skidmap-linux-malware-uses-roo...

А если у вас машина сознательно превращена в ханипод, то надо было заранее собирать md5 всех файлов. А потом проверять отдельно, подключив ФС к другой, чистой системе. Модуль ядра запросто может и файлы на ФС скрывать, это пустое занятие — изучать скомпроментированную систему из неё же.

mky ★★★★★
(07.02.22 20:38:25 MSK)

Ответ на: комментарий от mky 07.02.22 20:38:25 MSK

Так получилось, специально она ханиподом не был но безопасность не была настроена. Сейчас просто спортивный интерес найти куда он спрятался

Spinel
(09.02.22 11:57:56 MSK) автор топика

Ответ на: комментарий от Spinel 09.02.22 11:57:56 MSK

Останавливаешь её, делаешь похожую машину и сравниваешь файловые системы же.

x3al ★★★★★
(09.02.22 12:07:48 MSK)

Ответ на: комментарий от x3al 09.02.22 12:07:48 MSK

Я знаю адрес и порт куда это майнер ходит за заданиями, странно что он себя из процессов убрал а из списка соединений нет. Думаю как его по этим данным найти. Ну если не найду буду сравнивать FSы

Spinel
(09.02.22 12:59:38 MSK) автор топика