forum.lissyara.su

manefesto писал(а):в портах есть какой то анализатор системы

security/chkrootkit ?

Mox писал(а): security/chkrootkit ?

/usr/ports/security/rkhunter/ ?

setevoy писал(а):Задачка на миллион - как намеренно (!) подцепить эту каку? :-)

Если надо могу дать

Nks писал(а): Если надо могу дать

Давай. Можешь на мыло в архиве скинуть? Мыло в профиле у меня открыто. Заранее спасибо :-)

Как ( возможно ) показала практика это процесс запускает другой не менее интересный процесс "talkng".

Который в свою очередь открывает кучу соединений с 212.112.241.58:81 ( IRC сервер...вроде ).

Причины заражения: открытый в мир SSH с возможностью password авторизации.

talkng прикладываю, barbut.bsd - не обнаружил в системе.

Rostov114 писал(а):Причины заражения: открытый в мир SSH с возможностью password авторизации.

Вру, из-за невнимательности моей весь сервер был виден в мир.
Строка которой был запущен talkng.

barbut.bsd - был запущен просто

Ну, с момента проявления проблемы и по сей день у меня вирус себя больше не проявлял (после смены паролей всех на ssh и ftp). У setevoy, по моим сведениям, тоже не ловилось больше. Будем надеяться, что больше не проявится.

Где-то в 2008-м сам ловил барбут, еще на 6-ку. Был слабый пароль для пользователя, которому был разрешен ssh-логин. Об атаке я узнал по внезапно возросшей нагрузке - он мне 100-мбит канал затопил на 100%. Тогда я решил, что это бот для ддоса ИРЦ. Вроде бы тогда бот скомпилировал себя сам на моей системе, но исходников я не нашел.