Процесс barbut.bsd ?

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
aleksuss
рядовой
Сообщения: 18
Зарегистрирован: 2007-10-26 18:24:24

Процесс barbut.bsd ?

Непрочитанное сообщение aleksuss » 2010-11-22 16:38:49

Доброго времени суток. Обнаружил в списке процессов странный процесс barbut.bsd запущенный от имени пользователя от которого работает php-cgi. Так же в домашней директории пользователя и в директории /tmp есть файлы barbut.1 ... barbut.9. Кто то с подобным сталкивался ? В паутине пишут, что это якобы атака через апач. Спасибо за ответы.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Процесс barbut.bsd ?

Непрочитанное сообщение hizel » 2010-11-22 20:59:55

да :-)
еще sockstat оцените
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

aleksuss
рядовой
Сообщения: 18
Зарегистрирован: 2007-10-26 18:24:24

Re: Процесс barbut.bsd ?

Непрочитанное сообщение aleksuss » 2010-11-22 23:33:44

Удалил процесс не глянув. И что же там ? SSh еще на каком то порту слушал ???

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Процесс barbut.bsd ?

Непрочитанное сообщение hizel » 2010-11-22 23:43:32

они такие проказники
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

aleksuss
рядовой
Сообщения: 18
Зарегистрирован: 2007-10-26 18:24:24

Re: Процесс barbut.bsd ?

Непрочитанное сообщение aleksuss » 2010-11-22 23:52:27

Как эта атака произожла ? Через апач ? Есть какие то меры чтоб этого повторилось снова ? Как его выкосить из системы ?

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-05 10:33:21

Сегодня залез - увидел это процесс. Самое главное, что проблема видимо стара как мир, а решения пока не нашел более универсального чем руками найти и удалить файл. Файл был в tmp, но видимо ещё где-то сидит, т.к. запустился опять. Кто может что сказать по проблеме?

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение lap » 2011-11-05 12:31:15

Может оно как-то самоскачивается заново? потыкатся по веб контенту, может что новенькое появилось...
Не сломалось - не чини.

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-05 13:03:27

Посидел - помониторил - пока без изменений. Зацепил по snmp на кактус хост - буду следить за его нагрузкой. Будем надеяться, что проблема не повторится... Что самое обидное - в логах вообще не слова про процесс...

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Процесс barbut.bsd ?

Непрочитанное сообщение vadim64 » 2011-11-05 17:11:26

а в каких логах вы ищете информацию про процессы?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-06 5:59:29

Если верить интернетам искать надо в логах веб сервера. Там и ищем-с. Сейчас, кстати, проблем уже не возникает. Будем надеяться, что и в будущем снова этот процесс никому не навредит.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Laa » 2011-11-08 17:50:03

еще посмотрите не слушает ли у вас ничто необычные порты, не появился ли автозапуск чего-либо? Проверьте у рута ~/.ssh/authorize_keys
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-17 18:28:58

У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-ak ... erov-v-mir/ (ссылки не запрещено правилами давать?).

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-17 18:57:36

setevoy писал(а):У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-ak ... erov-v-mir/ (ссылки не запрещено правилами давать?).
Если ссылка относится к теме, то нет.
Да, тоже решил noexec на tmp. Ну и пароли поменял для администраторов на серверах.

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-17 19:03:57

Но все-же - это не панацея, т.е. не "полноценная таблетка", а простой "костыль" :-( Да и любопытно - откуда взялась зараза, как попала и прочее.

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-17 19:24:39

setevoy писал(а):Но все-же - это не панацея, т.е. не "полноценная таблетка", а простой "костыль" :-( Да и любопытно - откуда взялась зараза, как попала и прочее.
Я подозреваю, что был угнан один из паролей у пользователей, которым есть доступ до /tmp, но пока утверждать не буду. Сейчас включил полное логирование всего и вся и буду смотреть дальше. Буду надеяться, что больше не повторится.

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-17 19:46:19

Nks писал(а): Я подозреваю, что был угнан один из паролей у пользователей, которым есть доступ до /tmp, но пока утверждать не буду. Сейчас включил полное логирование всего и вся и буду смотреть дальше. Буду надеяться, что больше не повторится.
Угнаны пароли сразу у множества пользователей FreeBSD 7.0? Сомневаюсь... Все случилось массово и одновременно. Хотя... угнать могли раньше, а активировать ботов в любое другое время. ХЗ, как вариант... Но как-то маловероятно звучит.

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-17 20:57:45

Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.

Гость
проходил мимо

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Гость » 2011-11-17 21:16:14

Nks писал(а):Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.
А что именно в rc.local искать? 7.0 "поломатой" под рукой нет, но интересно ведь.

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-17 21:23:11

И кстати - а кто на какой версии системы цеплял гадость? Есть подозрение что проблема касается только 7.0 - но не подтверждено.

Аватара пользователя
Nks
рядовой
Сообщения: 23
Зарегистрирован: 2009-07-05 17:28:03
Откуда: Nsk
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение Nks » 2011-11-18 4:20:54

Гость писал(а):
Nks писал(а):Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.
А что именно в rc.local искать? 7.0 "поломатой" под рукой нет, но интересно ведь.
Была ссылка на исполняемый файл dropbear в количестве двух штук. Удалил, дропбир удалил.

olexande
рядовой
Сообщения: 25
Зарегистрирован: 2009-02-16 14:14:21

Re: Процесс barbut.bsd ?

Непрочитанное сообщение olexande » 2011-11-18 10:43:41

А где у Вас сидел "дропбир"?
Или как путь его запуска нашли?..

у меня в 6-ку пролез.

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-18 11:07:44

olexande писал(а):А где у Вас сидел "дропбир"?
Или как путь его запуска нашли?..

у меня в 6-ку пролез.
Человек пишет:
/etc/rc.local:

/usr/include/php/dropbear
/usr/include/php/dropbear
http://www.bsdportal.ru/viewtopic.php?p=150046#150046

olexande
рядовой
Сообщения: 25
Зарегистрирован: 2009-02-16 14:14:21

Re: Процесс barbut.bsd ?

Непрочитанное сообщение olexande » 2011-11-18 11:16:36

Кстати - на "barbut" clamav реагирует ...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение manefesto » 2011-11-18 11:18:15

в портах есть какой то анализатор системы
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
setevoy
рядовой
Сообщения: 21
Зарегистрирован: 2011-11-17 18:27:35
Откуда: Kiev
Контактная информация:

Re: Процесс barbut.bsd ?

Непрочитанное сообщение setevoy » 2011-11-18 14:10:42

Задачка на миллион - как намеренно (!) подцепить эту каку? :-)