20 ответов в этой теме

[dolly_k]

Добрый день!

Есть Ubuntu 12.04, поймали вирус, который организует DDoS атаку с компа.

 

Периодически канал в Интернет грузится на 100% (берстами),  сначала шел DNS запрос на lxjqun.jack.52088.com и потом постоянный берсты на адрес slfangxxhs.cdnvip.com

Постоянно от root были запущены несколько процессов типа .sshddNNN(NNN – некие цифры), убить которые невозможно.

Скачана пробная версия DrWeb for Linux, но проверка не дала никакого результата - вирус не найден и не обезврежен.

Кто-нибудь сталкивался с подобным, и что можно сделать. Переустановка системы - приемлемый вариант, но не желательный.

 

 

[Ivan Korolev]

Это Linux.BackDoor.Gates процентов на 90. Точнее смогу сказать, если предоставите сэмплы. Последнее можно сделать отправкой мне в личку или http://vms.drweb.com/sendvirus/. Если скинете через сайт, то укажите здесь номер тикета.

 

Переустановка системы не потребуется. Достаточно будет вычистить вирус.

Сообщение было изменено i.korolev: 22 Октябрь 2014 - 16:56

[dolly_k]

Спасибо, похоже что так, а какой файл слать?

[Ivan Korolev]

Если есть файл "/tmp/notify.file" - то в нем будет путь до бэкдора.

Если такого нет, то ищите в папке "/usr/bin/". Возможно он будет иметь имя "udevd", возможно какое-либо другое.

[usverg]

dolly_k, добрый день! Если не секрет, есть ли у Вас мысли о пути проникновения малвари в систему (а то сам регулярно употребляю Ubuntu 12.04)?

Сообщение было изменено usverg: 23 Октябрь 2014 - 08:01

[Ivan Korolev]

dolly_k, добрый день! Если не секрет, есть ли у Вас мысли о пути проникновения малвари в систему (а то сам регулярно употребляю Ubuntu 12.04)?

Сей бэкдор обычно распространяется подбором пароля рута.

 

dolly_k, "usr/bin/.sshd" - проверьте есть ли такой.

Сообщение было изменено i.korolev: 23 Октябрь 2014 - 11:09

[dolly_k]

dolly_k, добрый день! Если не секрет, есть ли у Вас мысли о пути проникновения малвари в систему (а то сам регулярно употребляю Ubuntu 12.04)?

Скорее всего был взломан рут-пароль извне. Пользователь установил пароль типа 1234

[usverg]

Пользователь установил пароль типа 1234

Молодец! Ещё небось и ссш включен...

[dolly_k]

 

dolly_k, добрый день! Если не секрет, есть ли у Вас мысли о пути проникновения малвари в систему (а то сам регулярно употребляю Ubuntu 12.04)?

Сей бэкдор обычно распространяется подбором пароля рута.

 

dolly_k, "usr/bin/.sshd" - проверьте есть ли такой.

 

Ничего из вышеперечисленного не нашлось... посмотрите личку, пожалуйста

[dolly_k]

 

Пользователь установил пароль типа 1234

Молодец! Ещё небось и ссш включен...

 

Судя по всему нет, но точно проверить уже нельзя было... результат тем не менее плачевный

[at.]

Пользователь установил пароль типа 1234

Молодец! Ещё небось и ссш включен...

чем вам ссш не угодил? тут ссзб чистой воды.

[usverg]

ссзб

Зачем сразу "буратино".

[Aleksandra]

Скачана пробная версия DrWeb for Linux, но проверка не дала никакого результата - вирус не найден и не обезврежен.

Кто-нибудь сталкивался с подобным, и что можно сделать. Переустановка системы - приемлемый вариант, но не желательный.

Чтобы с этим столнуться нужно очень постараться. В Вашем случае нужно грузиться с Linux Live CD, скопировать всю необходимую информацию и заново поднимать сервер.

Пользователь установил пароль типа 1234

Почему у Вас пользователи устанавливают пароли?

[Aleksandra]

Прежде чем бубунтасервер убунтенку поднимать,
Мануал по ssh-у нужно было почитать.

[usverg]

Почему у Вас пользователи устанавливают пароли?

Скорее всего - это обычная клиентская машина, у меня у 6 человек дома убунту стоит.

[usverg]

Мануал по ssh-у нужно было почитать.

Постфактум задача уже иная. А то бы ещё про denyhosts вспомнить можно было.

[Aleksandra]

Скорее всего - это обычная клиентская машина, у меня у 6 человек дома убунту стоит.

Еще лучше... Но сути дела это не меняет.

Дети-школьники?

[at.]

ссзб

Зачем сразу "буратино".

ну. ssh, открыт снаружи и всем, пароль словарный поставить - это нужно убедить систему, она вроде сопротивляется. Хотя, убунта может и нет, она добрая. Буратино это еще по доброму )

[at.]

Да, и обновления проверьте. У вас DNS сервер поднят?

[GrayCat]

dolly_k, попробуйте прогнать вот этим

https://github.com/FastVPSEestiOu/Antidoto

 

получите отчёт, который, скорее всего, позволит отловить "неизвестного"

 

повторюсь - это не лекарство, это лишь "диагност-детектор"

 

разумеется, один из самых оптимальных способов уже указали - грузануться с лив-цд, подмонтировать раздел(ы) с "больной" системы и так запускать все "проверялки"