Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2019-01-25 13:55:07

  Outlaw - Użytkownik

Outlaw
Użytkownik
Zarejestrowany: 2007-10-20
Serwis

Wirus?

Witam.
Mam problem na jednym z hostów z dużym obciążeniem co wiąże się z dziwnymi procesami w tle, które widać na screenie. ( https://drive.google.com/open?id=1mp2gE2Iw7j5-VeUiNFRkmH8iABaPiO0b ).
Po zabiciu pojawia się kolejny tylko z inną, zupełnie przypadkową nazwą. Po prześledzeniu PID mam coś takiego:

Kod:

root@net:/var/log# lsof -p 19397
COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF    NODE NAME
ysxwfdcdp 19397 root  cwd    DIR     8,1     4096       2 /
ysxwfdcdp 19397 root  rtd    DIR     8,1     4096       2 /
ysxwfdcdp 19397 root  txt    REG     8,1   625878 1536349 /usr/bin/ysxwfdcdpn
ysxwfdcdp 19397 root    0u   CHR     1,3      0t0      24 /dev/null
ysxwfdcdp 19397 root    1u   CHR     1,3      0t0      24 /dev/null
ysxwfdcdp 19397 root    2u   CHR     1,3      0t0      24 /dev/null
ysxwfdcdp 19397 root    3u  IPv4 6667905      0t0     TCP 89.191.150.194:46636->157.52.151.121:domain (ESTABLISHED)
ysxwfdcdp 19397 root    4u   raw              0t0 6694754 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    5u   raw              0t0 6694809 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    6u   raw              0t0 6694848 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    7u   raw              0t0 6694851 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    8u   raw              0t0 6694821 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    9u   raw              0t0 6694872 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root   11u   raw              0t0 6694852 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root   13u   raw              0t0 6694900 00000000:00FF->00000000:0000 st=07

Jakieś pomysły jak się tego pozbyć? Dodam że system dość stary, jednak na te chwilę brak czasu na stawianie nowego i migrację ;/

Kod:

root@net:/var/log# cat /etc/debian_version
6.0.5
http://blog.outlaw.one.pl
Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Toruń, Piła.
Internet, Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Piła, Toruń, Czersk

Offline

 

#2  2019-01-25 14:06:17

  Pakos - Członek DUG

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: Wirus?

wyglada na https://bartblaze.blogspot.com/2015/09/notes-on-linuxxorddos.html

Offline

 

#3  2019-01-25 14:09:12

  rulezdc - Członek DUG

rulezdc
Członek DUG
Skąd: Tarnowskie Góry
Zarejestrowany: 2007-05-22

Re: Wirus?

Cześć
Sprawdzałeś strace co on wogóle robi, możesz sę podpiąć pod proces i zobaczyć.
ładnie widać, że proces łaczy się z serwerem firmy Global Frag Networks
ogolnie zobaczyłbym jeszcze komendą strings co siedzi w tym pliku z /usr/bin/

Offline

 

#4  2019-01-25 14:21:53

  Outlaw - Użytkownik

Outlaw
Użytkownik
Zarejestrowany: 2007-10-20
Serwis

Re: Wirus?

Ktoś odpłatnie podjął by się usunięcia tego i ewentualnie załatania serwera żeby nie wróciło? Jeśli tak to pisać na outlaw87 @ gmail com

http://blog.outlaw.one.pl
Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Toruń, Piła.
Internet, Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Piła, Toruń, Czersk

Offline

 

#5  2019-01-25 15:21:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Wirus?

Kod:

root@net:/var/log# cat /etc/debian_version
6.0.5

Outlaw napisał(-a):

Ktoś odpłatnie podjął by się usunięcia tego i ewentualnie załatania serwera żeby nie wróciło? Jeśli tak to pisać na outlaw87 @ gmail com

Jeżeli to Debian rzeczywiście 6.0.5 , to szkoda tego naprawiać, trzeba toto zaorać razem z systemem i postawić stabilnego Debiana:

Kod:

 ssh vps lsb_release -a
No LSB modules are available.
Distributor ID:    Debian
Description:    Debian GNU/Linux 9.7 (stretch)
Release:    9.7
Codename:    stretch

Jeżeli natomiast koniecznie chcesz czy musisz  to reperować, (co nie ma większego sensu w takim starym systemie),to wpuść najpierw komunikację tylko SSH w obie strony INPUT/OUTPUT z Twojego IP, potem zablokuj resztę OUTPUTU firewallem, wtedy odetniesz backdoora od sieci, potem przez pstree sprawdź, jaki proces główny go wywołuje, i wywal binarkę czy skrypta, który robi ten burdel, albo obetnij jej działanie systemem ACL np Apparmorem.

To tak w skrócie można załatwić.

Pozdro

Ostatnio edytowany przez Jacekalex (2019-01-25 15:29:00)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2019-01-25 15:26:55

  Pakos - Członek DUG

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: Wirus?

Jacekalex napisał(-a):

Kod:

root@net:/var/log# cat /etc/debian_version
6.0.5

tylko trochę stare :P
2012-05-12 : Updated (6.0.5)

Offline

 

#7  2019-01-25 16:13:02

  rulezdc - Członek DUG

rulezdc
Członek DUG
Skąd: Tarnowskie Góry
Zarejestrowany: 2007-05-22

Re: Wirus?

Ładnie :)
Biblioteka uniwersytecka DDOS-uje serwery gier :)

Offline

 

#8  2019-02-18 00:25:26

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Wirus?

rulezdc napisał(-a):

Ładnie :)
Biblioteka uniwersytecka DDOS-uje serwery gier :)

Co w tym dziwnego? Buraczana sieć jak to w większości bibliotek i innych govach a już w szczególności bananowcach pokroju polski bywa ...

Ostatnio edytowany przez hi (2019-02-18 00:31:13)

"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)