Forum Debian Users Gang

azhag · 2011-11-18 09:13:11

http://www.linuxportal.pl/news/ebury-nowy-trojan-ssh-id102817

Sprawdźcie sumy kontrolne [tt]/usr/sbin/sshd[/tt], [tt]/usr/bin/ssh[/tt] oraz [tt]/usr/bin/ssh-add[/tt] i wynik polecenia [tt]ipcs[/tt].

DUG czysty. ;)

Jacekalex · 2011-11-18 09:40:03

U mnie w Gentusiu spokój:

Kod:

qcheck net-misc/openssh
Checking net-misc/openssh-5.8_p1-r1 ...
 MD5-DIGEST: /etc/ssh/sshd_config
 MD5-DIGEST: /etc/ssh/ssh_config
  * 70 out of 72 files are good

Pozdro
;-)

fervi · 2011-11-18 10:35:00

Ogólnie jeśli dobrze zrozumiałem i wszystko wykonałem, jestem czysty

Suma kontrolna MD5 - nie do końca wiedziałem o co wam chodziło, jednak każdy plik ma inną
Nie było żadnych adresów pamięci (konkretnie same 0)

BTW. Czy jak napiszę wirusa i wydam go na licencji GNU GPL (lub innej) to trafi on do repozytorium? :D:D:D

OMG, Linux jest dziurafy, o fak firusy są Armagieddon

Fervi

PS. Tobie chyba chodziło o Avast! :D

Ostatnio edytowany przez fervi (2011-11-18 10:35:56)

azhag · 2011-11-18 10:36:35

[quote=fervi]BTW. Czy jak napiszę wirusa i wydam go na licencji GNU GPL (lub innej) to trafi on do repozytorium? :D:D:D[/quote]
Tak, ale masz czas do niedzieli, potem rozpocznie się pierwszy etap mrożenia — żadnych nowych wirusów (chyba, że będą zamykać błędy RC w już dodanych). Zaczynaj!

fervi · 2011-11-18 10:50:12

Etap mrożenia? Wheezy na Stable? Czy o coś innego chodzi (może powszechna praktyka Debiana?)

Fervi

dominbik · 2011-11-18 15:24:31

ale ty jesteś zabawny

debianus_userus · 2011-11-19 23:10:28

[quote=Jacekalex]U mnie w Gentusiu spokój:
...[/quote]
U mnie w Mintusiu tez ;)

Lacer · 2011-11-20 09:47:20

[quote=debianus_userus][quote=Jacekalex]U mnie w Gentusiu spokój:
...[/quote]
U mnie w Mintusiu tez ;)[/quote]
U mnie siusiu...

BPMSPANC

pozdrawiam
miłosz

kamyk · 2013-08-06 16:26:24

Mój root seller powiadomił mnie że mam na swoim systemie (Debian Squeeze - Debian 3.2.41-2 x86_64) ów trojan Ebury, sprawdziłem poprzez: ipcs -m
WYNIK:

Kod:

------ Shared Memory Segments --------
key        shmid      owner      perms      bytes      nattch     status
0x00001741 0          root       666        3282312    0
0x4101b41a 786433     root       666        2097152    4
0x4101b40e 819202     nobody     666        2097152    3
0x4101b42f 851971     nobody     666        1048576    2
0x4101b6a6 884740     nobody     666        2097152    1

A teraz zasadnicze pytanie, czy jest wogóle jakaś możliwość wywalenia tego czegoś czy zostaje mi całkowity format i instalacja czystego systemu od nowa ?

azhag · 2013-08-06 17:31:54

Dla higieny zaoraj.

kamyk · 2013-08-07 01:01:30

[quote=azhag]Dla higieny zaoraj.[/quote]
No, ale nie mam gdzie tych wszystkich plików przechować na czas "orania" :D
Jest ich dużo, ponad 300 GB =/

Jacekalex · 2013-08-07 01:40:12

A jak masz tego Debiana zainstalowanego?
Bo zazwyczaj w Linuxie stosuje się partycje na dysku, i potem można zaorać partycję rootfs, bez ruszania danych na innych partycjach.

W ten sposób pliki i bazy danych są bezpieczne.

diabolic · 2013-08-07 08:04:59

U mnie niestety coś wykryło ;/

Kod:

0x5102000b 14024711   tomasz     666        1024       1

lecz sumy niby wyglądają ok:

Kod:

# debsums openssh-client
/usr/bin/scp                                                                  OK
/usr/bin/sftp                                                                 OK
/usr/bin/ssh                                                                  OK
/usr/bin/ssh-add                                                              OK
/usr/bin/ssh-agent                                                            OK
/usr/bin/ssh-argv0                                                            OK
/usr/bin/ssh-copy-id                                                          OK
/usr/bin/ssh-keygen                                                           OK
/usr/bin/ssh-keyscan                                                          OK
/usr/bin/ssh-vulnkey                                                          OK
/usr/lib/openssh/ssh-keysign                                                  OK
/usr/lib/openssh/ssh-pkcs11-helper                                            OK
/usr/share/apport/package-hooks/openssh-client.py                             OK
/usr/share/doc/openssh-client/ChangeLog.gssapi                                OK
/usr/share/doc/openssh-client/NEWS.Debian.gz                                  OK
/usr/share/doc/openssh-client/OVERVIEW.gz                                     OK
/usr/share/doc/openssh-client/README                                          OK
/usr/share/doc/openssh-client/README.Debian.gz                                OK
/usr/share/doc/openssh-client/README.compromised-keys.gz                      OK
/usr/share/doc/openssh-client/README.dns                                      OK
/usr/share/doc/openssh-client/README.tun.gz                                   OK
/usr/share/doc/openssh-client/changelog.Debian.gz                             OK
/usr/share/doc/openssh-client/changelog.gz                                    OK
/usr/share/doc/openssh-client/copyright                                       OK
/usr/share/doc/openssh-client/faq.html                                        OK
/usr/share/lintian/overrides/openssh-client                                   OK
/usr/share/man/man1/scp.1.gz                                                  OK
/usr/share/man/man1/sftp.1.gz                                                 OK
/usr/share/man/man1/ssh-add.1.gz                                              OK
/usr/share/man/man1/ssh-agent.1.gz                                            OK
/usr/share/man/man1/ssh-argv0.1.gz                                            OK
/usr/share/man/man1/ssh-copy-id.1.gz                                          OK
/usr/share/man/man1/ssh-keygen.1.gz                                           OK
/usr/share/man/man1/ssh-keyscan.1.gz                                          OK
/usr/share/man/man1/ssh-vulnkey.1.gz                                          OK
/usr/share/man/man1/ssh.1.gz                                                  OK
/usr/share/man/man5/moduli.5.gz                                               OK
/usr/share/man/man5/ssh_config.5.gz                                           OK
/usr/share/man/man8/ssh-keysign.8.gz                                          OK
/usr/share/man/man8/ssh-pkcs11-helper.8.gz                                    OK
/usr/share/upstart/sessions/ssh-agent.conf                                    OK

Kod:

# debsums openssh-server
/usr/lib/openssh/sftp-server                                                  OK
/usr/sbin/sshd                                                                OK
/usr/share/apport/package-hooks/openssh-server.py                             OK
/usr/share/doc/openssh-client/examples/sshd_config                            OK
/usr/share/lintian/overrides/openssh-server                                   OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sftp-server.8.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK

Jacekalex · 2013-08-07 09:28:49

Kod:
0x5102000b 14024711   tomasz     666        1024       1
[/quote]
Owszem wykryło, ale odpalił to użyszkodnik tomasz, jak widać na załączonym przykładzie.

Ten trojan powinien wisieć jako root, w przeciwnym razie ma dość umiarkowaną przydatność (pod względem kontroli nad systemem, za to z $HOME usera tomasz może kraść do woli - o ile to rzeczywiście trojan u Ciebie, a nie np jakaś wtyczka do FF).

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-08-07 09:29:53)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)

Time (s)	Query
0.00015	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00104	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='52.14.252.16' WHERE u.id=1
0.00077	UPDATE punbb_online SET logged=1732445299 WHERE ident='52.14.252.16'
0.00050	SELECT * FROM punbb_online WHERE logged<1732444999
0.00080	SELECT topic_id FROM punbb_posts WHERE id=185992
0.00006	SELECT id FROM punbb_posts WHERE topic_id=20077 ORDER BY posted
0.00056	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20077 AND t.moved_to IS NULL
0.00009	SELECT search_for, replace_with FROM punbb_censoring
0.00258	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20077 ORDER BY p.id LIMIT 0,25
0.00080	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20077
Total query time: 0.00739 s

Forum Debian Users Gang

Ogłoszenie

#1 2011-11-18 09:13:11

azhag - Admin łajza

Ebury - trojan SSH

#2 2011-11-18 09:40:03

Jacekalex - Podobno człowiek...;)

Re: Ebury - trojan SSH

Kod:

#3 2011-11-18 10:35:00

fervi - Użytkownik

Re: Ebury - trojan SSH

#4 2011-11-18 10:36:35

azhag - Admin łajza

Re: Ebury - trojan SSH

#5 2011-11-18 10:50:12

fervi - Użytkownik

Re: Ebury - trojan SSH

#6 2011-11-18 15:24:31

dominbik - Członek DUG

Re: Ebury - trojan SSH

#7 2011-11-19 23:10:28

debianus_userus - Członek DUG

Re: Ebury - trojan SSH

#8 2011-11-20 09:47:20

Lacer - Członek DUG

Re: Ebury - trojan SSH

#9 2013-08-06 16:26:24

kamyk - Użytkownik

Re: Ebury - trojan SSH

Kod:

#10 2013-08-06 17:31:54

azhag - Admin łajza

Re: Ebury - trojan SSH

#11 2013-08-07 01:01:30

kamyk - Użytkownik

Re: Ebury - trojan SSH

#12 2013-08-07 01:40:12

Jacekalex - Podobno człowiek...;)

Re: Ebury - trojan SSH

#13 2013-08-07 08:04:59

diabolic - Użytkownik

Re: Ebury - trojan SSH

Kod:

Kod:

Kod:

#14 2013-08-07 09:28:49

Jacekalex - Podobno człowiek...;)

Re: Ebury - trojan SSH

Kod:

#15 2013-08-07 11:02:46

diabolic - Użytkownik

Re: Ebury - trojan SSH

#16 2013-08-07 12:17:02

Jacekalex - Podobno człowiek...;)

Re: Ebury - trojan SSH

Kod:

Kod:

Kod:

Kod:

#17 2013-08-07 13:10:56

diabolic - Użytkownik

Re: Ebury - trojan SSH

Kod:

#18 2013-08-07 21:15:46

kamyk - Użytkownik

Re: Ebury - trojan SSH

Kod:

#19 2013-08-14 11:56:46

kamyk - Użytkownik

Re: Ebury - trojan SSH

#20 2014-03-01 16:48:30

kamyk - Użytkownik

Re: Ebury - trojan SSH

Kod:

#21 2014-03-01 17:19:32

Jacekalex - Podobno człowiek...;)

Re: Ebury - trojan SSH

#22 2014-03-01 18:38:21

uzytkownikubunt - Zbanowany