j
Тут интересно, тут майнермножица
А как его впустили?))
Size: a a a
2020 January 29
CA
А как его впустили?))
вирусы
Sf
А как его впустили?))
Через дымоход
j
Под рутом всякое творили без резинки?))
Sf
Под рутом всякое творили без резинки?))
Ты почитай, парень концептуально пишет
j
Ты почитай, парень концептуально пишет
Я уже прочиталь
В
Под рутом всякое творили без резинки?))
процесс от вторичного юзера - bitrix
В
вирь точнее. запущена всегда. и в кронтаб оный /var/spool/cron/bitrix себя пишет
В
рандомно. может неделю (тишины), все чистил в ноль. может через 2 дня заявиться.
В
то есть ощущения некого демона скрытого и и C&C
s
Нужен экзорцист
j
Разобрал логику работы.
1) Чистим логи за собой проникновения (отсюда мы и понять не можем как падла пролезла)
2) Вырубает мониторинги и запрещает запись в /root/.ssh/authorized_keys
3)грепаем и смотрим порты себеподобных и все соединения
4) убиваем майнеры, если есть.
5) удаляем себе подобных, если есть.
6) даже в докер контейнерах.
7) тянем (разные варианты, ip выше) и проверяем md5 своих бинарников, запускаем
8 ) Добавляем в кронтаб свой .sh и чистим логи.
1) Чистим логи за собой проникновения (отсюда мы и понять не можем как падла пролезла)
2) Вырубает мониторинги и запрещает запись в /root/.ssh/authorized_keys
3)грепаем и смотрим порты себеподобных и все соединения
4) убиваем майнеры, если есть.
5) удаляем себе подобных, если есть.
6) даже в докер контейнерах.
7) тянем (разные варианты, ip выше) и проверяем md5 своих бинарников, запускаем
8 ) Добавляем в кронтаб свой .sh и чистим логи.
Я уже знакомый список портов увидел. Походу эта падла и на винде обитает
В
Я уже знакомый список портов увидел. Походу эта падла и на винде обитает
да. есть порт и на винду.
В
.sh писал норм спец. НО он ничего криминального по факту не делает.
j
.sh писал норм спец. НО он ничего криминального по факту не делает.
Скорее всего писалось для одной задачи. Адаптировали под другую
В
но я не пойму после того, как я убил сам майнер и удалил его, убил процесс демона kinsing и удалил его, естественно нахер удалил wget процессы (половина fw словил) и крон вычистил. КАК ОНО опять появляется в системе
В
оно то есть откуда-то .sh запускает свой. или тянет и потом запускает. логов нет.
Такая тишана.. потом тук тут md5check? no? и мы поехали херню скачивать wget / bitbucket (демона)
Такая тишана.. потом тук тут md5check? no? и мы поехали херню скачивать wget / bitbucket (демона)
В
ругаться я так понял можно тут. Так вот я ебусь уже с 14 января с этой тварью.
j
но я не пойму после того, как я убил сам майнер и удалил его, убил процесс демона kinsing и удалил его, естественно нахер удалил wget процессы (половина fw словил) и крон вычистил. КАК ОНО опять появляется в системе
Смотри. Я видел похожий на винде. Тоже в логах чисто. Тело даже не нашел, процесс запусаслся хз отеуда. В шедулере чисто. Проверил по новым файлам в системе - чисто
В
Смотри. Я видел похожий на винде. Тоже в логах чисто. Тело даже не нашел, процесс запусаслся хз отеуда. В шедулере чисто. Проверил по новым файлам в системе - чисто
Знаешь как отследить что за процесс пишет в файл?