LINUX.ORG.RU
ФорумSecurity

Обнаружил ботнет

 ,


1

8

Взломали мой сервак, кинули перловый скрипт. Скрипт является ботом, управляется по IRC. Зашел на IRC сервер в канал, а там их 1000шт. Что делать?



Последнее исправление: cetjs2 (всего исправлений: 3)

1 2
Ответ на: комментарий от FreeBSD

FreeBSD

Какие люди! Хоть бы инфу в профиле обновил :)

IPR ★★★★★
()
Ответ на: комментарий от zmitrok62

Подменили sshd

Вот это уже плохо. Возможно, не только ssh тогда. Обычный пользователь это сделать не может, значит, есть уязвимость локальная. А если рута получили, то подменить могли что угодно. Как минимум, надо изучить возможности пакетного менеджера в плане проверки пакетов. Это уже теперь тоже не панацея, но хоть что-то...

AS ★★★★★
()
Ответ на: комментарий от zunkree

Система будет переставлена однозначно, но ей надо дожить несколько дней. Вот вам код бота:

Код бота

Файл палится оффтопиковыми антивирусами, Clamav'ом - нет. Пароль на архив «linux.org.ru». Адрес IRC сервера изменен на восьмерки. Ковыряйте, создавайте, Отакуйте!

zmitrok62
() автор топика
Ответ на: комментарий от Chaser_Andrey

Твоя аватарка очень кстати к сообщению.

Чем же?

rezedent12 ☆☆☆
()
Ответ на: комментарий от invokercd

А, сори, действительно не указал. Выяснил совсем недавно. Debian 6.0.2.

zmitrok62
() автор топика
Ответ на: комментарий от zmitrok62

Поменял sshd на родной. Что примечательно, у родного и подмененного, размер файла байт в байт. Но MD5 не сходятся.

http://rghost.ru/50032382

А ты уверен что залил на rghost именно модифицированный бинарник?

Потому-что у залитого тобой бинарника MD5 и SHA1 совпадают с sshd из openssh-server_5.5p1-6_amd64.deb.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

Вроде да. Но вирусованный я в любом случае уже удалил =(

zmitrok62
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Security