forum.lissyara.su

Доброго времени суток. Обнаружил в списке процессов странный процесс barbut.bsd запущенный от имени пользователя от которого работает php-cgi. Так же в домашней директории пользователя и в директории /tmp есть файлы barbut.1 ... barbut.9. Кто то с подобным сталкивался ? В паутине пишут, что это якобы атака через апач. Спасибо за ответы.

да :-)
еще sockstat оцените

Удалил процесс не глянув. И что же там ? SSh еще на каком то порту слушал ???

они такие проказники

Как эта атака произожла ? Через апач ? Есть какие то меры чтоб этого повторилось снова ? Как его выкосить из системы ?

Сегодня залез - увидел это процесс. Самое главное, что проблема видимо стара как мир, а решения пока не нашел более универсального чем руками найти и удалить файл. Файл был в tmp, но видимо ещё где-то сидит, т.к. запустился опять. Кто может что сказать по проблеме?

Может оно как-то самоскачивается заново? потыкатся по веб контенту, может что новенькое появилось...

Посидел - помониторил - пока без изменений. Зацепил по snmp на кактус хост - буду следить за его нагрузкой. Будем надеяться, что проблема не повторится... Что самое обидное - в логах вообще не слова про процесс...

а в каких логах вы ищете информацию про процессы?

Если верить интернетам искать надо в логах веб сервера. Там и ищем-с. Сейчас, кстати, проблем уже не возникает. Будем надеяться, что и в будущем снова этот процесс никому не навредит.

еще посмотрите не слушает ли у вас ничто необычные порты, не появился ли автозапуск чего-либо? Проверьте у рута ~/.ssh/authorize_keys

У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-ak ... erov-v-mir/ (ссылки не запрещено правилами давать?).

setevoy писал(а):У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-ak ... erov-v-mir/ (ссылки не запрещено правилами давать?).

Если ссылка относится к теме, то нет.
Да, тоже решил noexec на tmp. Ну и пароли поменял для администраторов на серверах.

Но все-же - это не панацея, т.е. не "полноценная таблетка", а простой "костыль" Да и любопытно - откуда взялась зараза, как попала и прочее.

setevoy писал(а):Но все-же - это не панацея, т.е. не "полноценная таблетка", а простой "костыль" Да и любопытно - откуда взялась зараза, как попала и прочее.

Я подозреваю, что был угнан один из паролей у пользователей, которым есть доступ до /tmp, но пока утверждать не буду. Сейчас включил полное логирование всего и вся и буду смотреть дальше. Буду надеяться, что больше не повторится.

Nks писал(а): Я подозреваю, что был угнан один из паролей у пользователей, которым есть доступ до /tmp, но пока утверждать не буду. Сейчас включил полное логирование всего и вся и буду смотреть дальше. Буду надеяться, что больше не повторится.

Угнаны пароли сразу у множества пользователей FreeBSD 7.0? Сомневаюсь... Все случилось массово и одновременно. Хотя... угнать могли раньше, а активировать ботов в любое другое время. ХЗ, как вариант... Но как-то маловероятно звучит.

Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.

Nks писал(а):Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.

А что именно в rc.local искать? 7.0 "поломатой" под рукой нет, но интересно ведь.

И кстати - а кто на какой версии системы цеплял гадость? Есть подозрение что проблема касается только 7.0 - но не подтверждено.

Гость писал(а):

Nks писал(а):Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.

А что именно в rc.local искать? 7.0 "поломатой" под рукой нет, но интересно ведь.

Была ссылка на исполняемый файл dropbear в количестве двух штук. Удалил, дропбир удалил.

А где у Вас сидел "дропбир"?
Или как путь его запуска нашли?..

у меня в 6-ку пролез.

olexande писал(а):А где у Вас сидел "дропбир"?
Или как путь его запуска нашли?..

у меня в 6-ку пролез.

Человек пишет:

/etc/rc.local:

/usr/include/php/dropbear
/usr/include/php/dropbear

http://www.bsdportal.ru/viewtopic.php?p=150046#150046

Кстати - на "barbut" clamav реагирует ...

в портах есть какой то анализатор системы

Задачка на миллион - как намеренно (!) подцепить эту каку? :-)