LINUX.ORG.RU

Странный процесс или руткит, кладет сеть...

 


1

4

Всем привет)

Уже не первый день бьюсь...

Отключил все лишнии процессы, все равно продолжается..

Вывод lsof -i

COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd       2013 root    3u  IPv6    5565      0t0  TCP *:ssh (LISTEN)
sshd       2013 root    4u  IPv4    5567      0t0  TCP *:ssh (LISTEN)
sshd      20513 root    3r  IPv4 1999510      0t0  TCP 192.168.1.26:ssh->192.168.1.55:53436 (ESTABLISHED)
tlyhszajf 32422 root    3u  IPv4 2009130      0t0  UDP *:52544

Собственно сам странный процесс: tlyhszajf 32422

После команды killall -KILL tlyhszajff

COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
sshd       2013 root    3u  IPv6    5565      0t0  TCP *:ssh (LISTEN)
sshd       2013 root    4u  IPv4    5567      0t0  TCP *:ssh (LISTEN)
sshd      20513 root    3r  IPv4 1999510      0t0  TCP 192.168.1.26:ssh->192.168.1.55:53436 (ESTABLISHED)
ricivmhyr 24892 root    3u  IPv4 2009575      0t0  UDP *:51595 
ricivmhyr 24892 root    4u  IPv4 2009576      0t0  UDP *:43273 

И снова килл и он появляется, при этом не всегда видится в топ..

qhgoabhin 25544 root    3u  IPv4 2009799      0t0  UDP *:47939 
qhgoabhin 25544 root    4u  IPv4 2009798      0t0  UDP *:48216

Вывод top

  
PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND                               
32422 root      20   0 1032m 2544  592 S   3.3  0.1  57:15.67 tlyhszajff                            
    1 root      20   0 10768  816  680 S   0.0  0.0   0:17.92 init                                  
    2 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kthreadd                              
    3 root      20   0     0    0    0 S   0.0  0.0   0:21.10 ksoftirqd/0                           
    6 root      rt   0     0    0    0 S   0.0  0.0   0:00.24 migration/0                           
    7 root      rt   0     0    0    0 S   0.0  0.0   0:00.54 watchdog/0                            
    8 root      rt   0     0    0    0 S   0.0  0.0   0:00.13 migration/1                           
    9 root      20   0     0    0    0 S   0.0  0.0   1:12.74 kworker/1:0                           
   10 root      20   0     0    0    0 S   0.0  0.0   0:05.23 ksoftirqd/1                           
   11 root      20   0     0    0    0 S   0.0  0.0   0:38.43 kworker/0:1                           
   12 root      rt   0     0    0    0 S   0.0  0.0   0:00.55 watchdog/1                            
   13 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 cpuset                                
   14 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 khelper                               
   15 root      20   0     0    0    0 S   0.0  0.0   0:00.00 kdevtmpfs                             
   16 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 netns                                 
   17 root      20   0     0    0    0 S   0.0  0.0   0:00.42 sync_supers                           
   18 root      20   0     0    0    0 S   0.0  0.0   0:00.00 bdi-default                           
   19 root       0 -20     0    0    0 S   0.0  0.0   0:00.00 kintegrityd    

Есть у кого нибуть идеи? Заранее спасибо всем кто откликнется! P.s. просьба по отвечать по делу, какие команды еще предоставить?



Последнее исправление: Strelok2013Strelok (всего исправлений: 1)

Отключил все лишнии процессы, все равно продолжается

Нужно установить продукт лаборатории Касперского.

ritsufag ★★★★★
()

Учитывая что оно работает от рута, то тебя спасет только реинсталл.

xtraeft ★★☆☆
()

Ты член ботнета

anonymous
()
Ответ на: комментарий от MikeDM

Ничего не показывает...

ps faux | grep qhgoabhint
root     10146  0.0  0.0   7680   620 pts/0    S+   19:15   0:00          \_ grep qhgoabhint

Strelok2013Strelok
() автор топика
Ответ на: комментарий от Strelok2013Strelok

Можна задействовать средства аудита, например, TOMOYO.

post-factum ★★★★★
()

rkhunter, chkrootkit — авось чо найдут, но от переустановки и расследования это тебя не освобождает, правда судя по созданной теме, тебе придётся сильно поднапрячься для этого.

dr-yay ★★
()
Ответ на: комментарий от dr-yay

rkhunter, chkrootkit — авось чо найдут, но от переустановки и расследования это тебя не освобождает, правда судя по созданной теме, тебе придётся сильно поднапрячься для этого.

не найдут. только грузить систему с рескью образа, и выпиливать бинарники и из крона. после этого система будет чистая. и да - бинарники защищены от удаления, нужно с них снять эти флаги сначала.

ktk ★★★★
()
Ответ на: комментарий от dr-yay

я с пол года назад чистил один из серверов. это кусок ботнета, автоматически заливаемый когда пароли на ssh ставят типа qwerty123.

чистится элементарно.

и переустанавливать это для слабаков. в случае пакетного дистра проще проверить все контрольные суммы, или вы про локалхост сервер имеете в виду?

ktk ★★★★
()
Ответ на: комментарий от ktk

в случае пакетного дистра проще проверить все контрольные суммы,

Разумеется, с другой системы? Пакетный менеджер может быть тоже заражен.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Разумеется, с другой системы? Пакетный менеджер может быть тоже заражен.

так точно.

ktk ★★★★
()
Ответ на: комментарий от ktk

Еслиб я знал что именно и где именно этот процесс находится, то ужеб вырезал..

Переустанавливать нет, и наче бы и не писал сюда, нужно имеенно найти и обезвредить...

Strelok2013Strelok
() автор топика
Ответ на: комментарий от ktk

вот правильно подметил) переустанавливать для слабоков, этож не шиндовс) Ток как почистить так и не понял... Можно побольше конкретики если не сложно...

Strelok2013Strelok
() автор топика
Ответ на: комментарий от Strelok2013Strelok

Переустанавливать нет, и наче бы и не писал сюда, нужно имеенно найти и обезвредить...

Бред какой. Если какой-то вредоносный процесс получил рута - все, пиши пропало. У тебя нет никаких гарантий, что в системе сейчас нет руткита и он подменяет выхлоп, который ты увидишь от той или иной утилиты.

Как минимум лечить надо из другой системы, а не из текущей.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

Ну еще бы не рута.. у меня все под рутом всегда.. да да плохо и тд. но хом сервер я не заморачиваюсь.. как и с паролем..

Бред не бред, но все же..

Допустим я хочу лечить из текущей системы.. какие действия я могу попробовать предпринять?

Умрет так умрет переустановлю.. но принципиально хочу эту чинить)

Strelok2013Strelok
() автор топика
Ответ на: комментарий от Strelok2013Strelok

Ну еще бы не рута.. у меня все под рутом всегда.. да да плохо и тд. но хом сервер я не заморачиваюсь.. как и с паролем..

Ты наркоман.

Допустим я хочу лечить из текущей системы.. какие действия я могу попробовать предпринять?

Убиться. Или пойти почитать, что такое руткит и как они работают.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)

элементарное lsof -p `pidof имя_процесса` покажет файлы

никаких гарантий чего бы то ни было, у рутового процесса абсолютные права в системе (если не используется selinux и ко.), то есть он может подменять и модифицировать любые вызовы и любой вывод

wakuwaku ★★★★
()
Ответ на: комментарий от xtraeft

Попрошу без обзывательств, мой линукс как хочу так и ломаю..

Если не можете дать нормальный совет, то не надо из себя гуру тут строить...

Почитаю в сторону руткит...

Strelok2013Strelok
() автор топика
Ответ на: комментарий от wakuwaku

Вот спасибо хоть какой то прогресс))

COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF   NODE NAME
qhgoabhin 25544 root  cwd    DIR     8,2     4096 390922 /root
qhgoabhin 25544 root  rtd    DIR     8,2     4096      2 /
qhgoabhin 25544 root  txt    REG     8,2    69064 262408 /boot/qhgoabhint
qhgoabhin 25544 root  mem    REG     8,2  1729984    554 /lib/x86_64-linux-gnu/libc-2.19.so
qhgoabhin 25544 root  mem    REG     8,2   137439    558 /lib/x86_64-linux-gnu/libpthread-2.19.so
qhgoabhin 25544 root  mem    REG     8,2   140928    557 /lib/x86_64-linux-gnu/ld-2.19.so
qhgoabhin 25544 root    0u   CHR     1,3      0t0   1027 /dev/null
qhgoabhin 25544 root    1u   CHR     1,3      0t0   1027 /dev/null
qhgoabhin 25544 root    2u   CHR     1,3      0t0   1027 /dev/null
qhgoabhin 25544 root    3u  IPv4 2079935      0t0    UDP *:45643 
Судя по всему все плохо?

Strelok2013Strelok
() автор топика
Ответ на: комментарий от xtraeft

Что верно, то верно) буду оккуратнее, а то домашний серв вот и расслабился..

Strelok2013Strelok
() автор топика
Ответ на: комментарий от Strelok2013Strelok

вероятно подменены функции стандартной библиотеки, это самый простой вариант. стоило бы натравить на диск с этой инсталляцией какой-нибудь rkhunter, загрузившись с флешки.

wakuwaku ★★★★
()
Ответ на: комментарий от ktk

поясняю для силачей:

1. руткит может быть не один. В прошлый раз в каждом из дебиянов, которые оставили по наследству, я выковырял по три руткита, из них два не палились ничем кроме rkhunter.

2. хрен знает, как на самом деле туда проблался именно этот руткит

3. кроме руткитов, в системе могли оставить модулей для джумлы, создать учётку пользователя или подсунуть доверенный ключ ssh руту.

По итогам, с умениями ТСа проще переставить систему.

упд: переставить систему вместо дебияна, почитать книжек и развить паранойю.

dr-yay ★★
()
Последнее исправление: dr-yay (всего исправлений: 1)
Ответ на: комментарий от alozovskoy

так совпало, что дебиян и дыры в безопасности это почти одно и то же. Ну может быть, я немного преувеличиваю, но совсем чуть.

dr-yay ★★
()
Ответ на: комментарий от dr-yay

Если можно, я бы хотел увидеть какие-нибудь пруфы, как то: независимые исследования; статистику взломов приложений, которые есть только в Debian; истории успеха и т.д.

alozovskoy ★★★★★
()
Последнее исправление: alozovskoy (всего исправлений: 3)

на антивирь похоже лол. TrendMicro под вендой шифровался называя свой процесс рандомно.

а вообще медаль надо какую-то если сумел подцепить на домашний сервак.

anonymous
()
Ответ на: комментарий от alozovskoy

янечитал, но даже сидя в гуях запущенных из-под рута на десктопе выступающим дом. сервером всё равно надо иметь еще более нестандартное мышление чтобы занести заразу. вот ты как себе это представляешь? разве что он беспарольной опой торчит в локальную сеть оператора где рыскают скрипткиддис.

anonymous
()
Ответ на: комментарий от anonymous

разве что он беспарольной опой торчит в локальную сеть оператора где рыскают скрипткиддис.

Может и так. Может у него там крутилось на этом хосте что-то общедоступное, по-этому его «нашли» и просто попробовали «взломать» пароль. Может у него там сайт какой дырявый крутился или еще что-то подобное, а так как все работает под рутом (со слов ТСа) запустить там какую-нибудь заразу проблем не составило. Может сам какую ерунду занес.

alozovskoy ★★★★★
()

какие команды еще предоставить?

На ум приходят

last
и
PID=пид_процесса
readlink -f /proc/$PID/cwd
readlink -f /proc/$PID/exe

backbone ★★★★★
()
Ответ на: комментарий от Strelok2013Strelok

Накати gentoo-hardened, там вместо дыр вещи, которых ни один вирус даже теоретически ожидать не может. Всё остальное — игрушки. Хотя от троянов и прочей гадости не спасёт, например. Поэтому рекомендую отрастить мозг. Пригодится.

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 3)
Ответ на: комментарий от anonymous

Понятие «RBAC» о чём-нибудь говорит? В дополнение к этому, патчи grsecurity среди прочего заменяют уязвимые функции.

wakuwaku ★★★★
()
Ответ на: комментарий от Strelok2013Strelok

с твоими умениями всё дыряво, читай статьи, тексты и посты, развивай паранойю

dr-yay ★★
()
Последнее исправление: dr-yay (всего исправлений: 1)
Ответ на: комментарий от Strelok2013Strelok

Ну еще бы не рута.. у меня все под рутом всегда.. да да плохо и тд. но хом сервер я не заморачиваюсь.. как и с паролем

Купить ружье побольше, стрелять в ноги дробью.

anonymous_sama ★★★★★
()
Ответ на: комментарий от dr-yay

так совпало, что дебиян и дыры в безопасности это почти одно и то же. Ну может быть, я немного преувеличиваю, но совсем чуть.

Не чуть, а совсем.

xtraeft ★★☆☆
()

Я бы загрузился с livecd какого-нибудь, подмонтировал дисочек и препарировал живчика! :)

slamd64 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.