URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 64597
[ Назад ]

Исходное сообщение
"атака или вирус - нужна помощь"
Отправлено kazak , 06-Мрт-06 15:52

ось Mandarakre 9, ядро 2.4.19-16mdk
вобщем несколько дней назад (был откоючен файрвол) с сервера
была удалена samba. В логах я нашел следующее:
Mar  5 CROND[24497]: (root) CMD (killall -9 smbd >/dev/null 2>&1)
Mar  5 04:10:00 82 syslogd: Printing partial message
Mar  5 04:10:00 82 78>Mar  5 04:10:00 CROND[24499]: (stalin) CMD (cd /home/stalin/irssi; ./pppd Sventevith >/dev/null 2>&1)
Mar  5 04:10:00 82 last message repeated 2 times
Mar  5 04:10:00 82 syslogd: Printing partial message
Mar  5 04:10:00 82 78>Mar  5 04:10:00 CROND[24501]: (tupac) CMD (cd /home/tupac/irssi; ./pppd Mordor >/dev/null 2>&1)
Mar  5 04:10:00 82
Mar  5 04:10:00 82 syslogd: Printing partial message
Mar  5 04:10:00 82 78>Mar  5 04:10:00 CROND[24503]: (stalin) CMD (cd /home/stalin/irssi; ./pppd Anorexia >/dev/null 2>&1)
были созданы пользователи stalin и tupac, в домашних каталогах которых помещен бинарник pppd
никакого другого вреда я не обнаружил.
подобный случай уже происходил однажды, т.е. samba уже удаляли.
Кто-нибудь с таким встречался?
Каким образом осуществлена эта атака и, что лучше сейчас сделать.

Содержание

атака или вирус - нужна помощь,Don, 16:30 , 06-Мрт-06

Сообщения в этом обсуждении

"атака или вирус - нужна помощь"
Отправлено Don , 06-Мрт-06 16:30

Ключевое слово - CROND
Смотри какие задания в cron поставлены.
P.s. Cron - аналог планировщика задач в Windows