Поломали сервер (Вытащил заразу, скажите чего делает)

SlipKo · Сообщение **SlipKo** » 07.05.2014 05:32

Добрый день!

В конторе есть сервак, выполняет функции шлюза (iptables, nat, Squid) и OpenVPN сервера на базе Debian Squeeze i686. Буквально вчера звонит мне товарищ и говорит что не работает интернет в организации и нет сети между офисами. Поковырявшись обнаружил, что нет openvpn как приложения, а пакет стоит. После перезагрузки все восстанавливалось, но не надолго. Первый взгляд показал:

Код: Выделить всё

May  5 18:16:00 3Slona sshd[2340]: Accepted password for root from 61.33.28.194 port 4691 ssh2
May  6 01:05:51 3Slona sshd[4742]: Accepted password for root from 61.33.28.194 port 1501 ssh2
May  6 16:55:02 3Slona sshd[5118]: Accepted password for root from 61.33.28.194 port 1157 ssh2
May  6 23:53:05 3Slona sshd[2775]: Accepted password for root from 61.33.28.194 port 2474 ssh2
May  7 01:31:55 3Slona sshd[3705]: Accepted password for root from 61.33.28.194 port 4019 ssh2

У меня в настройках sshd_config PermitRootLogin был no, а стал yes.
Истории действий в консоли от рута ничего нет не моего. Дальше нашел такую штуку:

Код: Выделить всё

cat /etc/rc.local
.... мое + стандартное и...
exit 0
/lib/dbus-v2.2/cat &

Зашел в директорию и нашел то что в приложении.
Как я понял это снифер который настроен на eth0, благо у меня его нет.
Чего он еще делает вредного кроме того что порт 5553 открывает в iptables?

Сообщение **Bizdelnick** » 07.05.2014 11:05

Файл klogd - это sshd. В файле (три пробела) - его конфиг, в файле k - ключ хоста. А вот что из себя представляют файлы l4 и s - непонятно. Видимо, l4 - тот самый сниффер.

Сообщение **SLEDopit** » 07.05.2014 12:27

Стоит помнить, что в подобных случаях ощущение "я всё почистил" скорее всего ложно. Единственный верный способ полностью и наверняка избавиться от заразы -- переустановить систему.

SlipKo · Сообщение **SlipKo** » 07.05.2014 16:08

Про переустановку все понятно. Другое дело, что автомат ли ломал или заказ?

P.S. Кста еще кое-что забыл:

Код: Выделить всё

root@localhost:/home/user# crontab -l
* * * * * /dev/net/ /update >/dev/null 2>&1

MrClon · Сообщение **MrClon** » 07.05.2014 16:20

Bizdelnick писал(а): ↑
07.05.2014 11:05
s - непонятно

(/lib/dbus-v2.2/ ) писал(а):RandomSeed /lib/dbus-v2.2/s

Сообщение **Bizdelnick** » 07.05.2014 16:22

SlipKo писал(а): ↑
07.05.2014 16:08
автомат ли ломал или заказ?

Надо логи на момент взлома смотреть. И то не факт, что удастся разобраться. Тем более раз Вы говорите, что в истории у рута ничего подозрительного, значит всё подчистили.
Но если даже ломали руками, то бекдор не для единичного использования делался.

Сообщение **Bizdelnick** » 07.05.2014 16:30

Файл l4 знаком virustotal аж с 2010-10-05 17:11:10 UTC. Юзер там утверждает, что это LinSniff.

SlipKo · Сообщение **SlipKo** » 08.05.2014 04:29

Понял. Ну походу беспокоится по поводу целевого взлома не стоит т.к. снифер был настроен, как я понял, на eth0, а у меня его нет. Как следствие лог куда все это должно было собираться пуст.

Спасибо всем за ответы.

unixforum.org

Поломали сервер (Вытащил заразу, скажите чего делает)

Поломали сервер

Re: Поломали сервер

Re: Поломали сервер

Re: Поломали сервер

Re: Поломали сервер

Re: Поломали сервер

Re: Поломали сервер

Re: Поломали сервер