Size: a a a

Системное администрирование

2020 January 29

j

jaffa シ in Системное администрирование
Sensiduct fcc
Тут интересно, тут майнермножица
А как его впустили?))
источник

CA

Constantin Aristov in Системное администрирование
jaffa シ
А как его впустили?))
вирусы
источник

Sf

Sensiduct fcc in Системное администрирование
jaffa シ
А как его впустили?))
Через дымоход
источник

j

jaffa シ in Системное администрирование
Под рутом всякое творили без резинки?))
источник

Sf

Sensiduct fcc in Системное администрирование
jaffa シ
Под рутом всякое творили без резинки?))
Ты почитай, парень концептуально пишет
источник

j

jaffa シ in Системное администрирование
Sensiduct fcc
Ты почитай, парень концептуально пишет
Я уже прочиталь
источник

В

Владислав in Системное администрирование
jaffa シ
Под рутом всякое творили без резинки?))
процесс от вторичного юзера - bitrix
источник

В

Владислав in Системное администрирование
вирь точнее. запущена всегда. и в кронтаб оный /var/spool/cron/bitrix себя пишет
источник

В

Владислав in Системное администрирование
рандомно. может неделю (тишины), все чистил в ноль. может через 2 дня заявиться.
источник

В

Владислав in Системное администрирование
то есть ощущения некого демона скрытого и и C&C
источник

s

smokerock in Системное администрирование
Нужен экзорцист
источник

j

jaffa シ in Системное администрирование
Владислав
Разобрал логику работы.
1) Чистим логи за собой проникновения (отсюда мы и понять не можем как падла пролезла)
2) Вырубает мониторинги и запрещает запись в /root/.ssh/authorized_keys
3)грепаем и смотрим порты себеподобных и все соединения
4) убиваем майнеры, если есть.
5) удаляем себе подобных, если есть.
6) даже в докер контейнерах.
7) тянем (разные варианты, ip выше) и проверяем md5 своих бинарников, запускаем
8 ) Добавляем в кронтаб свой .sh и чистим логи.
Я уже знакомый список портов увидел.  Походу эта падла и на винде обитает
источник

В

Владислав in Системное администрирование
jaffa シ
Я уже знакомый список портов увидел.  Походу эта падла и на винде обитает
да. есть порт и на винду.
источник

В

Владислав in Системное администрирование
.sh писал норм спец. НО он ничего криминального по факту не делает.
источник

j

jaffa シ in Системное администрирование
Владислав
.sh писал норм спец. НО он ничего криминального по факту не делает.
Скорее всего писалось для одной задачи. Адаптировали под другую
источник

В

Владислав in Системное администрирование
но я не пойму после того, как я убил сам майнер и удалил его, убил процесс демона kinsing и удалил его, естественно нахер удалил wget процессы (половина fw словил) и крон вычистил. КАК ОНО опять появляется в системе
источник

В

Владислав in Системное администрирование
оно то есть откуда-то .sh запускает свой. или тянет и потом запускает. логов нет.


Такая тишана.. потом тук тут md5check? no? и мы поехали херню скачивать wget / bitbucket (демона)
источник

В

Владислав in Системное администрирование
ругаться я так понял можно тут. Так вот я ебусь уже с 14 января с этой тварью.
источник

j

jaffa シ in Системное администрирование
Владислав
но я не пойму после того, как я убил сам майнер и удалил его, убил процесс демона kinsing и удалил его, естественно нахер удалил wget процессы (половина fw словил) и крон вычистил. КАК ОНО опять появляется в системе
Смотри. Я видел похожий на винде. Тоже в логах чисто. Тело даже не нашел, процесс запусаслся хз отеуда. В шедулере чисто. Проверил по новым файлам в системе - чисто
источник

В

Владислав in Системное администрирование
jaffa シ
Смотри. Я видел похожий на винде. Тоже в логах чисто. Тело даже не нашел, процесс запусаслся хз отеуда. В шедулере чисто. Проверил по новым файлам в системе - чисто
Знаешь как отследить что за процесс пишет в файл?
источник