Процесс barbut.bsd ?

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Mox
лейтенант
Сообщения: 757
Зарегистрирован: 2008-12-16 16:04:14
Откуда: питер
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Mox » 2011-11-18 15:58:33

manefesto писал(а):в портах есть какой то анализатор системы
security/chkrootkit ?
"В мире программирования алгоритмы становятся более важными, чем код, и именно из-за академических корней в BSD изначально большое внимание уделялось проработке алгоритмов". Мэтт Диллон

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-18 19:05:57

Mox писал(а): security/chkrootkit ?
/usr/ports/security/rkhunter/ ?

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-19 7:26:16

setevoy писал(а):Задачка на миллион - как намеренно (!) подцепить эту каку? :-)
Если надо могу дать :D

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-19 13:02:21

Nks писал(а): Если надо могу дать :D
Давай. Можешь на мыло в архиве скинуть? Мыло в профиле у меня открыто. Заранее спасибо :-)

Аватара пользователя
Rostov114
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-11-19 2:58:38
Откуда: СССР, Россия, г. Саратов
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Rostov114 » 2012-01-07 21:41:41

Как ( возможно ) показала практика это процесс запускает другой не менее интересный процесс "talkng".

Который в свою очередь открывает кучу соединений с 212.112.241.58:81 ( IRC сервер...вроде ).

Причины заражения: открытый в мир SSH с возможностью password авторизации.

talkng прикладываю, barbut.bsd - не обнаружил в системе.
Вложения
talkng.bz2
(180.46 КБ) 50 скачиваний
Кривые руки и ни какого волшебства

Аватара пользователя
Rostov114
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-11-19 2:58:38
Откуда: СССР, Россия, г. Саратов
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Rostov114 » 2012-01-07 21:48:40

Rostov114 писал(а):Причины заражения: открытый в мир SSH с возможностью password авторизации.
Вру, из-за невнимательности моей весь сервер был виден в мир.

Код: Выделить всё

sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;/root/talkng 176.31.237.19 80 -c 62.2.0.0/16 -u 0 -t 3600 |grep PPS
Строка которой был запущен talkng.

barbut.bsd - был запущен просто

Код: Выделить всё

./barbut.bsd
Кривые руки и ни какого волшебства

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2012-01-08 8:44:24

Ну, с момента проявления проблемы и по сей день у меня вирус себя больше не проявлял (после смены паролей всех на ssh и ftp). У setevoy, по моим сведениям, тоже не ловилось больше. Будем надеяться, что больше не проявится.

tim2k_k
проходил мимо

Re: Процесс barbut.bsd ?

Непрочитанное сообщение tim2k_k » 2012-02-15 7:13:38

Где-то в 2008-м сам ловил барбут, еще на 6-ку. Был слабый пароль для пользователя, которому был разрешен ssh-логин. Об атаке я узнал по внезапно возросшей нагрузке - он мне 100-мбит канал затопил на 100%. Тогда я решил, что это бот для ддоса ИРЦ. Вроде бы тогда бот скомпилировал себя сам на моей системе, но исходников я не нашел.