кто?

https://meduza.io/news/2016/07/16/myatezhniki-zahvatili-fregat-i-vzyali-v-zalozhniki-komanduyuschego-vms-turtsii

Коллеги, может кто-нибудь сможет помочь в ситуации. Подкинули тут Centos 7 с Asterisk, сервер взломан и генерит много трафика. я нашел что запущено, что генерит. Но после перезагрузки сервера видимо срабатывает какой-то скрипт и в системе опять генерятся бинарники и запускают кучу соединений. В журнале никаких подозрительных логов не видно. Как можно отслежить кроме journalctl -b что загружается и исполняется

а между сервером и интернетом есть что-нибудь управляемое?

неа сам сервер в azure

фак

тут может быть всё что угодно, вплоть до установки "гостевых утилит" со стороны гипервизора

для начала, создай каталоги с именами тех файлов, которые тебе удалось найти и уничтожить

Это да, это все усложняется наличием freepbx с web интерфейсом, вполне возможно могли подломать через дыру от туда. Но откуда поломали одно дело, а вот как избавиться от заразы.

подумай о целесобразности компиляторов

Хммм, видимо я погорячился, удаляю бинарники - скрипт создает новые с произвольным именем

боюсь задавать вопрос

файловых систем там сколько?

одна ext4

боль...

Да пипец, подломали хорошо. Я с таким никогда не сталкивался и просто сейчас растерялся. Тут можно копать куда угодно и очень долго и не плодотворно

если добавить пару новых фс ещё возможно, то запили отдельный вар, корень и тмп

при чем, тмп можно в памяти

у var и tmp добавь опции noexec и nosuid

уже будет меньше проблем, а если остальное на время перевести в ro, будет временная защита

Спасибо, тут я еще одну непонятную картину для меня увидел. Мне ss -an -46 показывает только несколько соединений в статусе ESTABLISHED, но у iftop совершенно другая картина порядка 7-8 активных соединений

был бы я специалистом по selinux, сразу бы посоветовал единственное правильное решение

скачай, пока, busybox откуда-нибудь, погляди им всякие там # busybox netstat

а что это даст? Это чем-то отличается от ss?

отличается тем, что бинарник для руткита незнакомый

точно

спасибо за наводку, а как-нибудь можно запустить какой-нибудь чекер, который проверит все бинарники

ну в соответствии с версиями

понимаю, много чего хочу :)))))

спасибо за наводку, а как-нибудь можно запустить какой-нибудь чекер, который проверит все бинарники

нужно

https://packetstormsecurity.com/files/download/130630/rkhunter-1.4.2.tar.gz

Спасибо! Пойду дальеш помучаю зверушку ))

На здоровье

Хех, и не все так просто: Rootkit checks... Rootkits checked : 373 Possible rootkits: 0

Хех, и не все так просто: Rootkit checks... Rootkits checked : 373 Possible rootkits: 0

а как трафик генерят?

Почему не снести и заново не поставить?

Вроде бы разобрался, это был XOR.DDoS

Да теперь конечно машину выключим и все перенесем.

Видимо рутовый пароль подобрали

вот кто ддосит всех

Я скромно промолчу на сколько денег люди прилетели с этим трояном ?

по трафику? представляю

я за 12гб платил гдет 1-2 бакса

это выходит они на касарь влетели?

больше, намного больше ?

печаль

у них нет админа?

вообще, в силу того, что азуре всё из себя такое новомодное, правильно использовать его возможности в плане SDN: рганизовать топологию виртуальной сети, в которой будет файрвол и прочее...

Неа, там какая-то команда, что-то писала, что-то выкатила... Ну и вот прилетела :)) Мне сегодня днем пациент уже достался.

теперь у них есть админ ;)

Видимо да?

ну если люди готовы платить за косяки столько - грех админа не натять на норм зп, профита больше

Что ещё и админу платить, так он же ничего не делает :)

За то что не вредит и другим не дает!

Кремлёвская пропаганда! ?

Ну вот, теперь я почти хипстер

ты сделал лук?

ты сделал лук?

Угу ?

и зачекинился в этом образе?

и зачекинился в этом образе?

Чорт, забыл :(

Осталось только писать на nodejs/ruby

и го

Спасибо! Пойду дальеш помучаю зверушку ))

Посмотри, что в /etc/inittab прописано

А, решили уже

Но есть и хорошие новости.

http://www.newsru.com/crime/15jul2016/velorape.html

Ох уж ети велосепедисты

ERROR: S client not available

Страшные люди?

чот долго его ловили

Ох уж ети велосепедисты

Щорс, ты с нами?

я да. я все аккуратно делаю

андрей твинк фила?

тсс... не пали контору

нужно тоже твинка сделать себе

с понями какиминить на аватарке

и тролить

И тут они?

да чтож такое

я вам уже рассказывал про атаку покемонолюбов на америкосовскую военную базу?

типа там покемона редкого нашли, и хотели заполучить

байки все это

такое слышал про китайскую базу

а ведь и правда про китайскую тоже есть, занятно

на фоне форса покемонов чо только не придумают

Да блять! Что за зашквар. Ставишь хроум, а он тянет Qt3 потому что это зависимость lsb. Шел 2016 год называется :С

Чот припекло мне от этого :С

Решето

Ставим рута и читерим

как же заебал форс этих покимонов

Чот я разворчался