Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2019-01-25 13:55:07

  Outlaw - Użytkownik

Outlaw
Użytkownik
Zarejestrowany: 2007-10-20
Serwis

Wirus?

Witam.
Mam problem na jednym z hostów z dużym obciążeniem co wiąże się z dziwnymi procesami w tle, które widać na screenie. ( https://drive.google.com/open?id=1mp2gE2Iw7j5-VeUiNFRkmH8iABaPiO0b ).
Po zabiciu pojawia się kolejny tylko z inną, zupełnie przypadkową nazwą. Po prześledzeniu PID mam coś takiego:

Kod:

root@net:/var/log# lsof -p 19397
COMMAND     PID USER   FD   TYPE  DEVICE SIZE/OFF    NODE NAME
ysxwfdcdp 19397 root  cwd    DIR     8,1     4096       2 /
ysxwfdcdp 19397 root  rtd    DIR     8,1     4096       2 /
ysxwfdcdp 19397 root  txt    REG     8,1   625878 1536349 /usr/bin/ysxwfdcdpn
ysxwfdcdp 19397 root    0u   CHR     1,3      0t0      24 /dev/null
ysxwfdcdp 19397 root    1u   CHR     1,3      0t0      24 /dev/null
ysxwfdcdp 19397 root    2u   CHR     1,3      0t0      24 /dev/null
ysxwfdcdp 19397 root    3u  IPv4 6667905      0t0     TCP 89.191.150.194:46636->157.52.151.121:domain (ESTABLISHED)
ysxwfdcdp 19397 root    4u   raw              0t0 6694754 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    5u   raw              0t0 6694809 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    6u   raw              0t0 6694848 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    7u   raw              0t0 6694851 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    8u   raw              0t0 6694821 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root    9u   raw              0t0 6694872 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root   11u   raw              0t0 6694852 00000000:00FF->00000000:0000 st=07
ysxwfdcdp 19397 root   13u   raw              0t0 6694900 00000000:00FF->00000000:0000 st=07

Jakieś pomysły jak się tego pozbyć? Dodam że system dość stary, jednak na te chwilę brak czasu na stawianie nowego i migrację ;/

Kod:

root@net:/var/log# cat /etc/debian_version
6.0.5
http://blog.outlaw.one.pl
[url=http://siecikomputerowe.bydgoszcz.pl]Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Toruń, Piła.[/url]
[url=http://netria.pl]Internet, Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Piła, Toruń, Czersk[/url]

Offline

 

#2  2019-01-25 14:06:17

  Pakos - Członek DUG

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: Wirus?

wyglada na https://bartblaze.blogspot.com/2015/09/notes-on-linuxxorddos.html

Offline

 

#3  2019-01-25 14:09:12

  rulezdc - Członek DUG

rulezdc
Członek DUG
Skąd: Tarnowskie Góry
Zarejestrowany: 2007-05-22

Re: Wirus?

Cześć
Sprawdzałeś strace co on wogóle robi, możesz sę podpiąć pod proces i zobaczyć.
ładnie widać, że proces łaczy się z serwerem firmy Global Frag Networks
ogolnie zobaczyłbym jeszcze komendą strings co siedzi w tym pliku z /usr/bin/

Offline

 

#4  2019-01-25 14:21:53

  Outlaw - Użytkownik

Outlaw
Użytkownik
Zarejestrowany: 2007-10-20
Serwis

Re: Wirus?

Ktoś odpłatnie podjął by się usunięcia tego i ewentualnie załatania serwera żeby nie wróciło? Jeśli tak to pisać na outlaw87 @ gmail com

http://blog.outlaw.one.pl
[url=http://siecikomputerowe.bydgoszcz.pl]Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Toruń, Piła.[/url]
[url=http://netria.pl]Internet, Okablowanie strukturalne, sieci komputerowe, Bydgoszcz, Poznań, Piła, Toruń, Czersk[/url]

Offline

 

#5  2019-01-25 15:21:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Wirus?

Kod:

root@net:/var/log# cat /etc/debian_version
6.0.5

[/quote]
[quote=Outlaw]Ktoś odpłatnie podjął by się usunięcia tego i ewentualnie załatania serwera żeby nie wróciło? Jeśli tak to pisać na outlaw87 @ gmail com[/quote]
Jeżeli to Debian rzeczywiście 6.0.5 , to szkoda tego naprawiać, trzeba toto zaorać razem z systemem i postawić stabilnego Debiana:

Kod:

 ssh vps lsb_release -a
No LSB modules are available.
Distributor ID:    Debian
Description:    Debian GNU/Linux 9.7 (stretch)
Release:    9.7
Codename:    stretch

Jeżeli natomiast koniecznie chcesz czy musisz  to reperować, (co nie ma większego sensu w takim starym systemie),to wpuść najpierw komunikację tylko SSH w obie strony INPUT/OUTPUT z Twojego IP, potem zablokuj resztę OUTPUTU firewallem, wtedy odetniesz backdoora od sieci, potem przez [b]pstree[/b] sprawdź, jaki proces główny go wywołuje, i wywal binarkę czy skrypta, który robi ten burdel, albo obetnij jej działanie systemem ACL np Apparmorem.

To tak w skrócie można załatwić.

Pozdro

Ostatnio edytowany przez Jacekalex (2019-01-25 15:29:00)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2019-01-25 15:26:55

  Pakos - Członek DUG

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: Wirus?

[quote=Jacekalex]

Kod:

root@net:/var/log# cat /etc/debian_version
6.0.5

[/quote]
[/quote]
tylko trochę stare :P
2012-05-12 : Updated (6.0.5)

Offline

 

#7  2019-01-25 16:13:02

  rulezdc - Członek DUG

rulezdc
Członek DUG
Skąd: Tarnowskie Góry
Zarejestrowany: 2007-05-22

Re: Wirus?

Ładnie :)
Biblioteka uniwersytecka DDOS-uje serwery gier :)

Offline

 

#8  2019-02-18 00:25:26

  hi - Użytkownik

hi
Użytkownik
Zarejestrowany: 2016-03-24

Re: Wirus?

[quote="rulezdc"]Ładnie :)
Biblioteka uniwersytecka DDOS-uje serwery gier :)[/quote]
Co w tym dziwnego? Buraczana sieć jak to w większości bibliotek i innych [b]gov[/b]ach a już w szczególności [url=https://pl.wikipedia.org/wiki/Republika_bananowa]bananowcach pokroju polski[/url] bywa ...

Ostatnio edytowany przez hi (2019-02-18 00:31:13)

"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.013 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00119 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.226.173' WHERE u.id=1
0.00137 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.15.226.173', 1713567871)
0.00075 SELECT * FROM punbb_online WHERE logged<1713567571
0.00115 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30813 AND t.moved_to IS NULL
0.00011 SELECT search_for, replace_with FROM punbb_censoring
0.00322 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30813 ORDER BY p.id LIMIT 0,25
0.00164 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30813
Total query time: 0.0096 s