Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
http://www.linuxportal.pl/news/ebury-nowy-trojan-ssh-id102817
Sprawdźcie sumy kontrolne [tt]/usr/sbin/sshd[/tt], [tt]/usr/bin/ssh[/tt] oraz [tt]/usr/bin/ssh-add[/tt] i wynik polecenia [tt]ipcs[/tt].
DUG czysty. ;)
Offline
U mnie w Gentusiu spokój:
qcheck net-misc/openssh Checking net-misc/openssh-5.8_p1-r1 ... MD5-DIGEST: /etc/ssh/sshd_config MD5-DIGEST: /etc/ssh/ssh_config * 70 out of 72 files are good
Pozdro
;-)
Offline
Ogólnie jeśli dobrze zrozumiałem i wszystko wykonałem, jestem czysty
Suma kontrolna MD5 - nie do końca wiedziałem o co wam chodziło, jednak każdy plik ma inną
Nie było żadnych adresów pamięci (konkretnie same 0)
BTW. Czy jak napiszę wirusa i wydam go na licencji GNU GPL (lub innej) to trafi on do repozytorium? :D:D:D
OMG, Linux jest dziurafy, o fak firusy są Armagieddon
Fervi
PS. Tobie chyba chodziło o Avast! :D
Ostatnio edytowany przez fervi (2011-11-18 10:35:56)
Offline
[quote=fervi]BTW. Czy jak napiszę wirusa i wydam go na licencji GNU GPL (lub innej) to trafi on do repozytorium? :D:D:D[/quote]
Tak, ale masz czas do niedzieli, potem rozpocznie się pierwszy etap mrożenia — żadnych nowych wirusów (chyba, że będą zamykać błędy RC w już dodanych). Zaczynaj!
Offline
Etap mrożenia? Wheezy na Stable? Czy o coś innego chodzi (może powszechna praktyka Debiana?)
Fervi
Offline
ale ty jesteś zabawny
Offline
[quote=Jacekalex]U mnie w Gentusiu spokój:
...[/quote]
U mnie w Mintusiu tez ;)
Offline
[quote=debianus_userus][quote=Jacekalex]U mnie w Gentusiu spokój:
...[/quote]
U mnie w Mintusiu tez ;)[/quote]
U mnie siusiu...
BPMSPANC
pozdrawiam
miłosz
Offline
Mój root seller powiadomił mnie że mam na swoim systemie (Debian Squeeze - Debian 3.2.41-2 x86_64) ów trojan Ebury, sprawdziłem poprzez: ipcs -m
WYNIK:
------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x00001741 0 root 666 3282312 0 0x4101b41a 786433 root 666 2097152 4 0x4101b40e 819202 nobody 666 2097152 3 0x4101b42f 851971 nobody 666 1048576 2 0x4101b6a6 884740 nobody 666 2097152 1
A teraz zasadnicze pytanie, czy jest wogóle jakaś możliwość wywalenia tego czegoś czy zostaje mi całkowity format i instalacja czystego systemu od nowa ?
Offline
Dla higieny zaoraj.
Offline
[quote=azhag]Dla higieny zaoraj.[/quote]
No, ale nie mam gdzie tych wszystkich plików przechować na czas "orania" :D
Jest ich dużo, ponad 300 GB =/
Offline
A jak masz tego Debiana zainstalowanego?
Bo zazwyczaj w Linuxie stosuje się partycje na dysku, i potem można zaorać partycję rootfs, bez ruszania danych na innych partycjach.
W ten sposób pliki i bazy danych są bezpieczne.
Offline
U mnie niestety coś wykryło ;/
0x5102000b 14024711 tomasz 666 1024 1
lecz sumy niby wyglądają ok:
# debsums openssh-client /usr/bin/scp OK /usr/bin/sftp OK /usr/bin/ssh OK /usr/bin/ssh-add OK /usr/bin/ssh-agent OK /usr/bin/ssh-argv0 OK /usr/bin/ssh-copy-id OK /usr/bin/ssh-keygen OK /usr/bin/ssh-keyscan OK /usr/bin/ssh-vulnkey OK /usr/lib/openssh/ssh-keysign OK /usr/lib/openssh/ssh-pkcs11-helper OK /usr/share/apport/package-hooks/openssh-client.py OK /usr/share/doc/openssh-client/ChangeLog.gssapi OK /usr/share/doc/openssh-client/NEWS.Debian.gz OK /usr/share/doc/openssh-client/OVERVIEW.gz OK /usr/share/doc/openssh-client/README OK /usr/share/doc/openssh-client/README.Debian.gz OK /usr/share/doc/openssh-client/README.compromised-keys.gz OK /usr/share/doc/openssh-client/README.dns OK /usr/share/doc/openssh-client/README.tun.gz OK /usr/share/doc/openssh-client/changelog.Debian.gz OK /usr/share/doc/openssh-client/changelog.gz OK /usr/share/doc/openssh-client/copyright OK /usr/share/doc/openssh-client/faq.html OK /usr/share/lintian/overrides/openssh-client OK /usr/share/man/man1/scp.1.gz OK /usr/share/man/man1/sftp.1.gz OK /usr/share/man/man1/ssh-add.1.gz OK /usr/share/man/man1/ssh-agent.1.gz OK /usr/share/man/man1/ssh-argv0.1.gz OK /usr/share/man/man1/ssh-copy-id.1.gz OK /usr/share/man/man1/ssh-keygen.1.gz OK /usr/share/man/man1/ssh-keyscan.1.gz OK /usr/share/man/man1/ssh-vulnkey.1.gz OK /usr/share/man/man1/ssh.1.gz OK /usr/share/man/man5/moduli.5.gz OK /usr/share/man/man5/ssh_config.5.gz OK /usr/share/man/man8/ssh-keysign.8.gz OK /usr/share/man/man8/ssh-pkcs11-helper.8.gz OK /usr/share/upstart/sessions/ssh-agent.conf OK
# debsums openssh-server /usr/lib/openssh/sftp-server OK /usr/sbin/sshd OK /usr/share/apport/package-hooks/openssh-server.py OK /usr/share/doc/openssh-client/examples/sshd_config OK /usr/share/lintian/overrides/openssh-server OK /usr/share/man/man5/sshd_config.5.gz OK /usr/share/man/man8/sftp-server.8.gz OK /usr/share/man/man8/sshd.8.gz OK
Offline
Kod:
0x5102000b 14024711 tomasz 666 1024 1[/quote]
Owszem wykryło, ale odpalił to użyszkodnik tomasz, jak widać na załączonym przykładzie.
Ten trojan powinien wisieć jako root, w przeciwnym razie ma dość umiarkowaną przydatność (pod względem kontroli nad systemem, za to z $HOME usera tomasz może kraść do woli - o ile to rzeczywiście trojan u Ciebie, a nie np jakaś wtyczka do FF).
Pozdro
;-)Ostatnio edytowany przez Jacekalex (2013-08-07 09:29:53)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
A jak zdiagnozować z czego to pochodzi i ewentualnie pozbyć się tego?
Offline
[s]Szczerze pisząc, nie wiem, ale na Twoim miejscu próbowałbym kombinować z lsof.[/s]
ipcs -m
wynik:
0x00000000 [b]6914092[/b] {użyszkodnik} 600 393216 2 dest[/quote]
Druga kolumna - wynik wygląda na unikalny numerek.Kod:
ipcs -p | grep 6914092Wynik:
6914092 {użyszkodnik} [b]5534[/b] 7009[/quote]
[b]ipcs -p[/b]
pokazuje pid procesu w trzeciej kolumnie,
tutaj w przykładzie to 5543
Potem można sprawdzić, jaki program odpalił proces:Kod:
ls -l /proc/5543/exe lrwxrwxrwx 1 {użyszkodnik} proc 0 08-07 12:25 /proc/5543/exe -> /usr/lib64/firefox/firefoxGeneralnie, pliki /proc to duże zagrożenie dla systemu, ale też źródło wszystkich informacji o dowolnym procesie, włącznie z PID rodzica, wszystkimi zmiennymi, z jakimi wstał, itp.
Na przyszłość:
RTFM:Kod:
man ipcs man ps man pstreePozdro
;-)Ostatnio edytowany przez Jacekalex (2013-08-07 12:31:48)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
Poszedłem za twoim rozwiązaniem i co się okazało, że to QtCreator O_o.
lrwxrwxrwx 1 tomasz tomasz 0 lip 31 09:28 /proc/1063/exe -> /home/tomasz/qtcreator-2.8.0/bin/qtcreator
Ostatnio edytowany przez diabolic (2013-08-07 13:12:05)
Offline
a umie:
:~# ls -l /proc/1295/exe lrwxrwxrwx 1 root root 0 Aug 2 23:09 /proc/1295/exe -> /opt/adobe/fms/fmsmaster
Offline
Na innym czystym lokalnym Debianie parametry są ustawione na 600, nie 666... ale nawet jeśli są ustawione na 666 czyli pełny read/write to chyba nie znaczy to że ktoś się włamał/ zainfekował system tym trojanem, bo mój sprzedawca oznajmił po ponownym sprawdzeniu maszyny, że jednak nie ma zagrożenia że mój system został zainfekowany, sprawdziłem też sam wykrywaczem Ebury i niczego podejrzanego mi nie wykrył.
Offline
Infekcja mimo zapewnien sprzedawcy wciaz caly czas byla w systemie, ale pewno ktos nie uzywal jej od dluzszego czasu, bo dopiero jakis miesiac temu cale datacenter zablokowalo moje glowne IP, z powodu bardzo wielkiego spamu jaki wychodzil z mojej maszyny bez mojego udzialu.
Zaproponowano mi przeinstalowanie calego systemu i skromny backup dla plikow, nie widze innego wyjscia jak totalny reinstal aby usunac to cholerstwo raz na zawsze, to jak NSA co siedzi i ma pelną kontrole nad waszym calym systemem, moze wejsc i wyjsc kiedy chce nie wykryte.
To tyle, chcialem tylko dodac to od siebie =)
Tutaj jeszcze notka z emaila po angielsku o tym Ebury:
Ebury is a rootkit/backdoor trojan for Linux and Unix-style operating systems. It is installed by attackers on compromised hosts by either replacing SSH binaries or a shared library (libkeyutils). On infected hosts, Ebury steals SSH login credentials (username/password) from incoming and outgoing SSH connections. The harvested credentials are exfiltrated to dropzone servers operated by the attackers using specially crafted DNS packets. Additionally, SSH private keys used for outgoing SSH connections are stolen from the compromised hosts. Ebury provides a backdoor the attackers can use to get a remote root shell on infected hosts. This way the attackers have full control of the machine and are able to access or manipulate any kind of data on the system. The compromised machines are used for various criminal activities like sending massive amounts of spam or redirections to drive-by-exploits. Please find below a list of IP addresses hosted on your networks from which stolen SSH login credentials were sent to a dropzone server. These systems are very likely infected with Ebury. The timestamp (timezone UTC) listed for each IP address indicates when transmission of harvested SSH login credentials occured. Further information on Ebury and how to verify an infection can be found in a FAQ available here: <https://www.cert-bund.de/ebury-faq>
Offline
@kamyk
Administrujesz serwerem?
I nie radzisz sobie w ogóle ze sprawdzeniem, kto i co na tym serwerze robi?
Weź się chłopie w garść, zaoraj ten system, postaw go na nowo, solidnie i starannie skonfigurowany i zabezpieczony.
To najlepsze rozwiązanie, biorąc pod uwagę, że nie masz bladego pojęcia,
kto Ci tam schował swoje zabawki, i co te zabawki jeszcze kryją i potrafią.
Na przyszłość zainteresuj się starannym projektowaniem systemu, pancernymi zabezpieczeniami jak Grsecurity, czy kontrolą integralności plików, którą możesz zrealizować przy pomocy programu AIDE.
A tu lektura do poduszki, na ciepłe zimowe wieczory:
http://www.gentoo.org/doc/pl/security/security-handbook.xml?full=1
Dotyczy systemu Gentoo, ale poza kilkoma niewielkimi różnicami wszystkie Linuksy konfiguruje się jednakowo, zasady bezpieczeństwa są wspólne we wszystkich Linuksach.
Pozdro
:D
Ostatnio edytowany przez Jacekalex (2014-03-01 17:48:36)
Offline
533
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:46:49)
Offline
A tu lektura do poduszki, na ciepłe zimowe wieczory:
http://www.gentoo.org/doc/pl/security/security-handbook.xml?full=1[/quote]
A to se poczytam, ale:Nigdy nie należy uruchamiać serwera X lub jakiejkolwiek aplikacji użytkownika z przywilejami roota.[/quote]
Bez przesady, może w ogóle lepiej nie używać roota? Chyba ktoś już na to wpadł i sudo wymyślił. xDNigdy nie należy zostawiać otwartego terminala z zalogowanym do niego rootem.[/quote]
tmux się liczy? Jak nie patrzeć terminal zamykam. xDOstatnio edytowany przez morfik (2014-03-01 19:36:52)
Offline
@Jacekalex
Nie mam aż tak rozległej wiedzy na temat zabezpieczeń, linux zawsze uchodził za bezpieczny system, nie to co windows przykładowo, no ale zdradzę w jakiż to prosty moim zdaniem sposób praktycznie sam zaraziłem własny system, próbowałem znależć jakąś aplikację do konwertowania plików wideo prostym poleceniem, kilka się tam znalazło, ale z oficjalnej listy source.list nigdy nie mogłem niczego pobrać przez: apt-get install, wiec poszperalem jakies alternatywne source.list z ktorych wiecej znajdywalo juz aplikacji, ale widocznie natknalem sie na jeden z tych zainfekowanych systemow i pewno pobralo cos wiecej niz chcialem, ot zagadka rozwiazana tak mi sie wydaje, teraz juz nie mam zamiaru zmieniac source.list, byc moze nawet sam cos pobralem i probowalem zainstalowac, mnostwo tego bylo bo szukalem najprostszej a zarazem najlepszej aplikacji do tego czego potrzebowalem, ale zawsze jakies bledy wyskakiwaly ze jakiejs biblioteki brakuje, wiec i je recznie szukalem i dodawalem, kto wie moze jedna biblioteka dala full dostep dla tego Ebury :)
Mam czysty system, nie planuje juz raczej zabaw z instalowaniem niczego konkretnego
root:~# ipcs -m ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x0000158d 0 root 600 3231112 0
Ostatnio edytowany przez kamyk (2014-03-01 20:18:40)
Offline
Nikt się nie urodził z biegłą znajomością Linuxa.
Linux jest bardzo bezpieczny na serwer plików czy komputer w domu lub biurze, ale serwery udostępniające w internecie różne usługi, to trochę inna liga, inne zagrożenia i inne zabezpieczenia się tam stosuje.
I jak chcesz się serwerami zajmować, to jeszcze duuuużżżżoooo nauki przed Tobą.
PS.
Do konwertowania filmów masz kombajn w postaci ffmpeg, w którym można cuda zdziałać.
Trzeba tylko sobie porobić automatyczne skrypty, bo ffmpeg, to narzędzie konsolowe, a na serwerze się środowisk graficznych raczej nie używa.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-03-02 22:03:28)
Offline
Time (s) | Query |
---|---|
0.00008 | SET CHARSET latin2 |
0.00003 | SET NAMES latin2 |
0.00099 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.25.248' WHERE u.id=1 |
0.00074 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.25.248', 1732445379) |
0.00052 | SELECT * FROM punbb_online WHERE logged<1732445079 |
0.00072 | DELETE FROM punbb_online WHERE ident='3.144.21.206' |
0.00081 | DELETE FROM punbb_online WHERE ident='3.144.42.233' |
0.00072 | SELECT topic_id FROM punbb_posts WHERE id=185991 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=20077 ORDER BY posted |
0.00078 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20077 AND t.moved_to IS NULL |
0.00019 | SELECT search_for, replace_with FROM punbb_censoring |
0.00286 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20077 ORDER BY p.id LIMIT 0,25 |
0.00071 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20077 |
Total query time: 0.00921 s |