Процесс barbut.bsd ?

Mox · Непрочитанное сообщение **Mox** » 2011-11-18 15:58:33

manefesto писал(а):в портах есть какой то анализатор системы

security/chkrootkit ?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

setevoy · Непрочитанное сообщение **setevoy** » 2011-11-18 19:05:57

Mox писал(а): security/chkrootkit ?

/usr/ports/security/rkhunter/ ?

Nks · Непрочитанное сообщение **Nks** » 2011-11-19 7:26:16

setevoy писал(а):Задачка на миллион - как намеренно (!) подцепить эту каку? :-)

Если надо могу дать

setevoy · Непрочитанное сообщение **setevoy** » 2011-11-19 13:02:21

Nks писал(а): Если надо могу дать

Давай. Можешь на мыло в архиве скинуть? Мыло в профиле у меня открыто. Заранее спасибо :-)

Rostov114

Как ( возможно ) показала практика это процесс запускает другой не менее интересный процесс "talkng".

Который в свою очередь открывает кучу соединений с 212.112.241.58:81 ( IRC сервер...вроде ).

Причины заражения: открытый в мир SSH с возможностью password авторизации.

talkng прикладываю, barbut.bsd - не обнаружил в системе.

Rostov114

Rostov114 писал(а):Причины заражения: открытый в мир SSH с возможностью password авторизации.

Вру, из-за невнимательности моей весь сервер был виден в мир.

Код: Выделить всё

sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;/root/talkng 176.31.237.19 80 -c 62.2.0.0/16 -u 0 -t 3600 |grep PPS

Строка которой был запущен talkng.

barbut.bsd - был запущен просто

Код: Выделить всё

./barbut.bsd

Nks · Непрочитанное сообщение **Nks** » 2012-01-08 8:44:24

Ну, с момента проявления проблемы и по сей день у меня вирус себя больше не проявлял (после смены паролей всех на ssh и ftp). У setevoy, по моим сведениям, тоже не ловилось больше. Будем надеяться, что больше не проявится.

tim2k_k · Непрочитанное сообщение **tim2k_k** » 2012-02-15 7:13:38

Где-то в 2008-м сам ловил барбут, еще на 6-ку. Был слабый пароль для пользователя, которому был разрешен ssh-логин. Об атаке я узнал по внезапно возросшей нагрузке - он мне 100-мбит канал затопил на 100%. Тогда я решил, что это бот для ддоса ИРЦ. Вроде бы тогда бот скомпилировал себя сам на моей системе, но исходников я не нашел.

forum.lissyara.su

Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?

Услуги хостинговой компании Host-Food.ru

Re: Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?

Re: Процесс barbut.bsd ?