Странный процесс или руткит, кладет сеть...

1

4

Всем привет)

Уже не первый день бьюсь...

Отключил все лишнии процессы, все равно продолжается..

Вывод lsof -i

COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd       2013 root    3u  IPv6    5565      0t0  TCP *:ssh (LISTEN)
sshd       2013 root    4u  IPv4    5567      0t0  TCP *:ssh (LISTEN)
sshd      20513 root    3r  IPv4 1999510      0t0  TCP 192.168.1.26:ssh->192.168.1.55:53436 (ESTABLISHED)
tlyhszajf 32422 root    3u  IPv4 2009130      0t0  UDP *:52544

Собственно сам странный процесс: tlyhszajf 32422

После команды killall -KILL tlyhszajff

COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd       2013 root    3u  IPv6    5565      0t0  TCP *:ssh (LISTEN)
sshd       2013 root    4u  IPv4    5567      0t0  TCP *:ssh (LISTEN)
sshd      20513 root    3r  IPv4 1999510      0t0  TCP 192.168.1.26:ssh->192.168.1.55:53436 (ESTABLISHED)
ricivmhyr 24892 root    3u  IPv4 2009575      0t0  UDP *:51595 
ricivmhyr 24892 root    4u  IPv4 2009576      0t0  UDP *:43273

И снова килл и он появляется, при этом не всегда видится в топ..

qhgoabhin 25544 root    3u  IPv4 2009799      0t0  UDP *:47939 
qhgoabhin 25544 root    4u  IPv4 2009798      0t0  UDP *:48216

Вывод top

  
PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND                               
32422 root      20   0 1032m 2544  592 S   3.3  0.1  57:15.67 tlyhszajff                            
    1 root      20   0 10768  816  680 S   0.0  0.0   0:17.92 init                                  
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kthreadd                              
    3 root      20   0     0    0    0 S   0.0  0.0   0:21.10 ksoftirqd/0                           
    6 root      rt   0     0    0    0 S   0.0  0.0   0:00.24 migration/0                           
    7 root      rt   0     0    0    0 S   0.0  0.0   0:00.54 watchdog/0                            
    8 root      rt   0     0    0    0 S   0.0  0.0   0:00.13 migration/1                           
    9 root      20   0     0    0    0 S   0.0  0.0   1:12.74 kworker/1:0                           
   10 root      20   0     0    0    0 S   0.0  0.0   0:05.23 ksoftirqd/1                           
   11 root      20   0     0    0    0 S   0.0  0.0   0:38.43 kworker/0:1                           
   12 root      rt   0     0    0    0 S   0.0  0.0   0:00.55 watchdog/1                            
   13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset                                
   14 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper                               
   15 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs                             
   16 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns                                 
   17 root      20   0     0    0    0 S   0.0  0.0   0:00.42 sync_supers                           
   18 root      20   0     0    0    0 S   0.0  0.0   0:00.00 bdi-default                           
   19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd

Есть у кого нибуть идеи? Заранее спасибо всем кто откликнется! P.s. просьба по отвечать по делу, какие команды еще предоставить?

Ссылка

←	debian на смартфон

Scalable PSD Vector в GIMP - реально ли и как использовать?

→

← 1 2 →

Отключил все лишнии процессы, все равно продолжается

Нужно установить продукт лаборатории Касперского.

ritsufag ★★★★★
(09.09.14 17:50:57 MSK)

Ссылка

Найди, где лежат эти бинарники.

post-factum ★★★★★
(09.09.14 18:11:07 MSK)

Учитывая что оно работает от рута, то тебя спасет только реинсталл.

~~xtraeft~~ ★★☆☆
(09.09.14 18:23:34 MSK)

Ссылка

Ты член ботнета

anonymous
(09.09.14 18:26:47 MSK)

Ссылка

ps faux | grep tlyhszajff

покажет откуда это фигня запустилась.

MikeDM ★★★★★
(09.09.14 18:28:59 MSK)

Ответ на: комментарий от MikeDM 09.09.14 18:28:59 MSK

Ничего не показывает...

ps faux | grep qhgoabhint
root     10146  0.0  0.0   7680   620 pts/0    S+   19:15   0:00          \_ grep qhgoabhint

Strelok2013Strelok
(09.09.14 19:16:52 MSK)

Ссылка

Ответ на: комментарий от post-factum 09.09.14 18:11:07 MSK

Так в этом и загвоздка, как найти?

Strelok2013Strelok
(09.09.14 19:17:39 MSK)

Поставь auditd

~~gh0stwizard~~ ★★★★★
(09.09.14 19:23:10 MSK)

Ссылка

Ответ на: комментарий от Strelok2013Strelok 09.09.14 19:17:39 MSK

Можна задействовать средства аудита, например, TOMOYO.

post-factum ★★★★★
(09.09.14 19:52:39 MSK)

Ссылка

rkhunter, chkrootkit — авось чо найдут, но от переустановки и расследования это тебя не освобождает, правда судя по созданной теме, тебе придётся сильно поднапрячься для этого.

dr-yay ★★
(09.09.14 19:56:37 MSK)

Ответ на: комментарий от dr-yay 09.09.14 19:56:37 MSK

rkhunter, chkrootkit — авось чо найдут, но от переустановки и расследования это тебя не освобождает, правда судя по созданной теме, тебе придётся сильно поднапрячься для этого.

не найдут. только грузить систему с рескью образа, и выпиливать бинарники и из крона. после этого система будет чистая. и да - бинарники защищены от удаления, нужно с них снять эти флаги сначала.

ktk ★★★★
(09.09.14 19:58:56 MSK)

Ответ на: комментарий от ktk 09.09.14 19:58:56 MSK

пруф на «не найдут», да и после расследования один хрен надо всё переустанавливать, а не вычищать.

dr-yay ★★
(09.09.14 20:08:38 MSK)

Ответ на: комментарий от dr-yay 09.09.14 20:08:38 MSK

я с пол года назад чистил один из серверов. это кусок ботнета, автоматически заливаемый когда пароли на ssh ставят типа qwerty123.

чистится элементарно.

и переустанавливать это для слабаков. в случае пакетного дистра проще проверить все контрольные суммы, или вы про локалхост сервер имеете в виду?

ktk ★★★★
(09.09.14 20:12:54 MSK)

Ответ на: комментарий от ktk 09.09.14 20:12:54 MSK

в случае пакетного дистра проще проверить все контрольные суммы,

Разумеется, с другой системы? Пакетный менеджер может быть тоже заражен.

~~xtraeft~~ ★★☆☆
(09.09.14 21:07:23 MSK)

Ответ на: комментарий от xtraeft 09.09.14 21:07:23 MSK

Разумеется, с другой системы? Пакетный менеджер может быть тоже заражен.

так точно.

ktk ★★★★
(09.09.14 21:20:00 MSK)

Ссылка

Ответ на: комментарий от Strelok2013Strelok 09.09.14 19:17:39 MSK

Так в этом и загвоздка, как найти?

htop -p $PID

уже не в моде у нонешней молодежи?

novitchok ★★★★★
(09.09.14 21:24:20 MSK)

Ответ на: комментарий от novitchok 09.09.14 21:24:20 MSK

И откуда ты такой умный?

anonymous
(09.09.14 22:03:27 MSK)

Ссылка

Ответ на: комментарий от ktk 09.09.14 19:58:56 MSK

Еслиб я знал что именно и где именно этот процесс находится, то ужеб вырезал..

Переустанавливать нет, и наче бы и не писал сюда, нужно имеенно найти и обезвредить...

Strelok2013Strelok
(10.09.14 01:33:45 MSK)

Ответ на: комментарий от ktk 09.09.14 20:12:54 MSK

вот правильно подметил) переустанавливать для слабоков, этож не шиндовс) Ток как почистить так и не понял... Можно побольше конкретики если не сложно...

Strelok2013Strelok
(10.09.14 01:35:50 MSK)

Ссылка

Ответ на: комментарий от Strelok2013Strelok 10.09.14 01:33:45 MSK

Переустанавливать нет, и наче бы и не писал сюда, нужно имеенно найти и обезвредить...

Бред какой. Если какой-то вредоносный процесс получил рута - все, пиши пропало. У тебя нет никаких гарантий, что в системе сейчас нет руткита и он подменяет выхлоп, который ты увидишь от той или иной утилиты.

Как минимум лечить надо из другой системы, а не из текущей.

~~xtraeft~~ ★★☆☆
(10.09.14 01:44:17 MSK)

Ответ на: комментарий от xtraeft 10.09.14 01:44:17 MSK

Ну еще бы не рута.. у меня все под рутом всегда.. да да плохо и тд. но хом сервер я не заморачиваюсь.. как и с паролем..

Бред не бред, но все же..

Допустим я хочу лечить из текущей системы.. какие действия я могу попробовать предпринять?

Умрет так умрет переустановлю.. но принципиально хочу эту чинить)

Strelok2013Strelok
(10.09.14 01:53:12 MSK)

Ответ на: комментарий от Strelok2013Strelok 10.09.14 01:53:12 MSK

Ну еще бы не рута.. у меня все под рутом всегда.. да да плохо и тд. но хом сервер я не заморачиваюсь.. как и с паролем..

Ты наркоман.

Допустим я хочу лечить из текущей системы.. какие действия я могу попробовать предпринять?

Убиться. Или пойти почитать, что такое руткит и как они работают.

~~xtraeft~~ ★★☆☆
(10.09.14 01:54:06 MSK)
Последнее исправление: xtraeft 10.09.14 01:54:17 MSK (всего исправлений: 1)

элементарное lsof -p `pidof имя_процесса` покажет файлы

никаких гарантий чего бы то ни было, у рутового процесса абсолютные права в системе (если не используется selinux и ко.), то есть он может подменять и модифицировать любые вызовы и любой вывод

wakuwaku ★★★★
(10.09.14 01:56:16 MSK)

Ответ на: комментарий от xtraeft 10.09.14 01:54:06 MSK

Попрошу без обзывательств, мой линукс как хочу так и ломаю..

Если не можете дать нормальный совет, то не надо из себя гуру тут строить...

Почитаю в сторону руткит...

Strelok2013Strelok
(10.09.14 01:56:33 MSK)

Ответ на: комментарий от wakuwaku 10.09.14 01:56:16 MSK

Вот спасибо хоть какой то прогресс))

COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF   NODE NAME
qhgoabhin 25544 root  cwd    DIR     8,2     4096 390922 /root
qhgoabhin 25544 root  rtd    DIR     8,2     4096      2 /
qhgoabhin 25544 root  txt    REG     8,2    69064 262408 /boot/qhgoabhint
qhgoabhin 25544 root  mem    REG     8,2  1729984    554 /lib/x86_64-linux-gnu/libc-2.19.so
qhgoabhin 25544 root  mem    REG     8,2   137439    558 /lib/x86_64-linux-gnu/libpthread-2.19.so
qhgoabhin 25544 root  mem    REG     8,2   140928    557 /lib/x86_64-linux-gnu/ld-2.19.so
qhgoabhin 25544 root    0u   CHR     1,3      0t0   1027 /dev/null
qhgoabhin 25544 root    1u   CHR     1,3      0t0   1027 /dev/null
qhgoabhin 25544 root    2u   CHR     1,3      0t0   1027 /dev/null
qhgoabhin 25544 root    3u  IPv4 2079935      0t0    UDP *:45643

Судя по всему все плохо?

Strelok2013Strelok
(10.09.14 02:00:10 MSK)

Ответ на: комментарий от Strelok2013Strelok 10.09.14 01:56:33 MSK

да да плохо и тд. но хом сервер я не заморачиваюсь

Ну вот и донезаморачивался.

~~xtraeft~~ ★★☆☆
(10.09.14 02:00:55 MSK)

Ответ на: комментарий от xtraeft 10.09.14 02:00:55 MSK

Что верно, то верно) буду оккуратнее, а то домашний серв вот и расслабился..

Strelok2013Strelok
(10.09.14 02:02:47 MSK)

Ссылка

Ответ на: комментарий от Strelok2013Strelok 10.09.14 02:00:10 MSK

вероятно подменены функции стандартной библиотеки, это самый простой вариант. стоило бы натравить на диск с этой инсталляцией какой-нибудь rkhunter, загрузившись с флешки.

wakuwaku ★★★★
(10.09.14 02:08:44 MSK)

Ссылка

Ответ на: комментарий от ktk 09.09.14 20:12:54 MSK

поясняю для силачей:

1. руткит может быть не один. В прошлый раз в каждом из дебиянов, которые оставили по наследству, я выковырял по три руткита, из них два не палились ничем кроме rkhunter.

2. хрен знает, как на самом деле туда проблался именно этот руткит

3. кроме руткитов, в системе могли оставить модулей для джумлы, создать учётку пользователя или подсунуть доверенный ключ ssh руту.

По итогам, с умениями ТСа проще переставить систему.

упд: переставить систему вместо дебияна, почитать книжек и развить паранойю.

dr-yay ★★
(10.09.14 08:50:07 MSK)
Последнее исправление: dr-yay 10.09.14 08:51:40 MSK (всего исправлений: 1)

Ответ на: комментарий от dr-yay 10.09.14 08:50:07 MSK

переставить систему вместо дебияна

При чем тут Debian? ТС пароль не осилил придумать и сидит под рутом, ССЗБ.

alozovskoy ★★★★★
(10.09.14 08:55:48 MSK)

Ответ на: комментарий от alozovskoy 10.09.14 08:55:48 MSK

так совпало, что дебиян и дыры в безопасности это почти одно и то же. Ну может быть, я немного преувеличиваю, но совсем чуть.

dr-yay ★★
(10.09.14 08:58:42 MSK)

Ответ на: комментарий от dr-yay 10.09.14 08:58:42 MSK

Если можно, я бы хотел увидеть какие-нибудь пруфы, как то: независимые исследования; статистику взломов приложений, которые есть только в Debian; истории успеха и т.д.

alozovskoy ★★★★★
(10.09.14 09:05:15 MSK)
Последнее исправление: alozovskoy 10.09.14 09:07:05 MSK (всего исправлений: 3)

Ответ на: комментарий от alozovskoy 10.09.14 09:05:15 MSK

это мои наблюдения — всем пруфам пруф.

dr-yay ★★
(10.09.14 09:07:08 MSK)

Ссылка

на антивирь похоже лол. TrendMicro под вендой шифровался называя свой процесс рандомно.

а вообще медаль надо какую-то если сумел подцепить на домашний сервак.

anonymous
(10.09.14 09:34:25 MSK)

Ссылка

Ответ на: комментарий от alozovskoy 10.09.14 08:55:48 MSK

янечитал, но даже сидя в гуях запущенных из-под рута на десктопе выступающим дом. сервером всё равно надо иметь еще более нестандартное мышление чтобы занести заразу. вот ты как себе это представляешь? разве что он беспарольной опой торчит в локальную сеть оператора где рыскают скрипткиддис.

anonymous
(10.09.14 09:41:13 MSK)

Ответ на: комментарий от anonymous 10.09.14 09:41:13 MSK

разве что он беспарольной опой торчит в локальную сеть оператора где рыскают скрипткиддис.

Может и так. Может у него там крутилось на этом хосте что-то общедоступное, по-этому его «нашли» и просто попробовали «взломать» пароль. Может у него там сайт какой дырявый крутился или еще что-то подобное, а так как все работает под рутом (со слов ТСа) запустить там какую-нибудь заразу проблем не составило. Может сам какую ерунду занес.

alozovskoy ★★★★★
(10.09.14 09:48:27 MSK)

Ссылка

какие команды еще предоставить?

На ум приходят

last

PID=пид_процесса
readlink -f /proc/$PID/cwd
readlink -f /proc/$PID/exe

backbone ★★★★★
(10.09.14 10:45:57 MSK)

Ссылка

Ответ на: комментарий от dr-yay 10.09.14 08:58:42 MSK

А что же у нас тогда без дыр?) приведите пожалуйста примеры)

Strelok2013Strelok
(10.09.14 10:50:20 MSK)

Ответ на: комментарий от Strelok2013Strelok 10.09.14 10:50:20 MSK

Накати gentoo-hardened, там вместо дыр вещи, которых ни один вирус даже теоретически ожидать не может. Всё остальное — игрушки. Хотя от троянов и прочей гадости не спасёт, например. Поэтому рекомендую отрастить мозг. Пригодится.

wakuwaku ★★★★
(10.09.14 10:53:10 MSK)
Последнее исправление: wakuwaku 10.09.14 10:55:29 MSK (всего исправлений: 3)