Процесс barbut.bsd ?
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-10-26 18:24:24
Процесс barbut.bsd ?
Доброго времени суток. Обнаружил в списке процессов странный процесс barbut.bsd запущенный от имени пользователя от которого работает php-cgi. Так же в домашней директории пользователя и в директории /tmp есть файлы barbut.1 ... barbut.9. Кто то с подобным сталкивался ? В паутине пишут, что это якобы атака через апач. Спасибо за ответы.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Процесс barbut.bsd ?
да :-)
еще sockstat оцените
еще sockstat оцените
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-10-26 18:24:24
Re: Процесс barbut.bsd ?
Удалил процесс не глянув. И что же там ? SSh еще на каком то порту слушал ???
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Процесс barbut.bsd ?
они такие проказники
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-10-26 18:24:24
Re: Процесс barbut.bsd ?
Как эта атака произожла ? Через апач ? Есть какие то меры чтоб этого повторилось снова ? Как его выкосить из системы ?
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Сегодня залез - увидел это процесс. Самое главное, что проблема видимо стара как мир, а решения пока не нашел более универсального чем руками найти и удалить файл. Файл был в tmp, но видимо ещё где-то сидит, т.к. запустился опять. Кто может что сказать по проблеме?
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: Процесс barbut.bsd ?
Может оно как-то самоскачивается заново? потыкатся по веб контенту, может что новенькое появилось...
Не сломалось - не чини.
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Посидел - помониторил - пока без изменений. Зацепил по snmp на кактус хост - буду следить за его нагрузкой. Будем надеяться, что проблема не повторится... Что самое обидное - в логах вообще не слова про процесс...
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: Процесс barbut.bsd ?
а в каких логах вы ищете информацию про процессы?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Если верить интернетам искать надо в логах веб сервера. Там и ищем-с. Сейчас, кстати, проблем уже не возникает. Будем надеяться, что и в будущем снова этот процесс никому не навредит.
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: Процесс barbut.bsd ?
еще посмотрите не слушает ли у вас ничто необычные порты, не появился ли автозапуск чего-либо? Проверьте у рута ~/.ssh/authorize_keys
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
- setevoy
- рядовой
- Сообщения: 21
- Зарегистрирован: 2011-11-17 18:27:35
- Откуда: Kiev
- Контактная информация:
Re: Процесс barbut.bsd ?
У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-ak ... erov-v-mir/ (ссылки не запрещено правилами давать?).
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Если ссылка относится к теме, то нет.setevoy писал(а):У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-ak ... erov-v-mir/ (ссылки не запрещено правилами давать?).
Да, тоже решил noexec на tmp. Ну и пароли поменял для администраторов на серверах.
- setevoy
- рядовой
- Сообщения: 21
- Зарегистрирован: 2011-11-17 18:27:35
- Откуда: Kiev
- Контактная информация:
Re: Процесс barbut.bsd ?
Но все-же - это не панацея, т.е. не "полноценная таблетка", а простой "костыль" Да и любопытно - откуда взялась зараза, как попала и прочее.
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Я подозреваю, что был угнан один из паролей у пользователей, которым есть доступ до /tmp, но пока утверждать не буду. Сейчас включил полное логирование всего и вся и буду смотреть дальше. Буду надеяться, что больше не повторится.setevoy писал(а):Но все-же - это не панацея, т.е. не "полноценная таблетка", а простой "костыль" Да и любопытно - откуда взялась зараза, как попала и прочее.
- setevoy
- рядовой
- Сообщения: 21
- Зарегистрирован: 2011-11-17 18:27:35
- Откуда: Kiev
- Контактная информация:
Re: Процесс barbut.bsd ?
Угнаны пароли сразу у множества пользователей FreeBSD 7.0? Сомневаюсь... Все случилось массово и одновременно. Хотя... угнать могли раньше, а активировать ботов в любое другое время. ХЗ, как вариант... Но как-то маловероятно звучит.Nks писал(а): Я подозреваю, что был угнан один из паролей у пользователей, которым есть доступ до /tmp, но пока утверждать не буду. Сейчас включил полное логирование всего и вся и буду смотреть дальше. Буду надеяться, что больше не повторится.
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.
-
- проходил мимо
Re: Процесс barbut.bsd ?
А что именно в rc.local искать? 7.0 "поломатой" под рукой нет, но интересно ведь.Nks писал(а):Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.
- setevoy
- рядовой
- Сообщения: 21
- Зарегистрирован: 2011-11-17 18:27:35
- Откуда: Kiev
- Контактная информация:
Re: Процесс barbut.bsd ?
И кстати - а кто на какой версии системы цеплял гадость? Есть подозрение что проблема касается только 7.0 - но не подтверждено.
- Nks
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-07-05 17:28:03
- Откуда: Nsk
- Контактная информация:
Re: Процесс barbut.bsd ?
Была ссылка на исполняемый файл dropbear в количестве двух штук. Удалил, дропбир удалил.Гость писал(а):А что именно в rc.local искать? 7.0 "поломатой" под рукой нет, но интересно ведь.Nks писал(а):Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.
-
- рядовой
- Сообщения: 25
- Зарегистрирован: 2009-02-16 14:14:21
Re: Процесс barbut.bsd ?
А где у Вас сидел "дропбир"?
Или как путь его запуска нашли?..
у меня в 6-ку пролез.
Или как путь его запуска нашли?..
у меня в 6-ку пролез.
- setevoy
- рядовой
- Сообщения: 21
- Зарегистрирован: 2011-11-17 18:27:35
- Откуда: Kiev
- Контактная информация:
Re: Процесс barbut.bsd ?
Человек пишет:olexande писал(а):А где у Вас сидел "дропбир"?
Или как путь его запуска нашли?..
у меня в 6-ку пролез.
http://www.bsdportal.ru/viewtopic.php?p=150046#150046/etc/rc.local:
/usr/include/php/dropbear
/usr/include/php/dropbear
-
- рядовой
- Сообщения: 25
- Зарегистрирован: 2009-02-16 14:14:21
Re: Процесс barbut.bsd ?
Кстати - на "barbut" clamav реагирует ...
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
- setevoy
- рядовой
- Сообщения: 21
- Зарегистрирован: 2011-11-17 18:27:35
- Откуда: Kiev
- Контактная информация:
Re: Процесс barbut.bsd ?
Задачка на миллион - как намеренно (!) подцепить эту каку? :-)