Появляются непонятные файлы в директория /usr/bin и /etc/init.d.
С названиями из набора произвольных букв. Размер их одинаковый 323 кб в init.d
а можно пример названий? что показывает equery b <путь к файлу>?
- я поставил чтобы файлы с одинаковым названием в одну директорию запихать. А название сумбур и тупой компьютерный перебор букв
doxqqundij (611 KB)
doxqqundij- (323 Bytes)
Alexander Tratsevskiy wrote:
а можно пример названий? что показывает equery b <путь к файлу>?
Вопрос , что за ключ b?
andre l wrote:
Появляются непонятные файлы в директория /usr/bin и /etc/init.d.
С названиями из набора произвольных букв. Размер их одинаковый 323 б в init.d и 611 кб в usr/bin. Названия разные , а размер один. Грузят процессор и что-то отсылают - я так думаю.
Alexander Tratsevskiy wrote:
а можно пример названий? что показывает equery b <путь к файлу>?
* Searching for /usr/bin/<набор букв>
и ничего
Судя по отчётам антивируса - это троян Linux.Xorddos (HEUR:Trojan-DDoS.Linux.Xarcen.a). Рекомендую переустановить систему с флешки. Здесь о нем можно почитать http://habrahabr.ru/post/248933/
Я только поставил (несколько дней назад). Откуда он мог взяться? И как его лечить? И что делать что бы его не было? И прежде чем переустанавливать нужно разобраться что делать чтобы не повторилось.
Наверное пароль root-а был “111”?
нет из букв примерно 6.
Спасибо за статью помогло.
Делал так:
- Отключил сеть. (процесс взбесился и начал жрать процессор)
- под su таскменеджером остановил его
- под su тунаром удалил три файла в /etc/cron.hourly, /usr/bin и /etc/init.d. созданные сегодня
всё
теперь вопрос как поднять защиту?
Прикупить антивирус или придумать сложный пароль для root. Думайте сами, троян прописался с правами root, Вы, как пишете, ему никак не способствовали. Хотя, как троян мог узнать пароль рута? Либо с помощью социальной инженерии (т.е. Вы его сообщили), либо подбором. И если пароль состоял из цифр, в этом ничего сложного нет.
даже и из букв, это уже не помогает
Одно удивляет (сам живу на CLDX) - никогда не возникало вирусной активности. Что надо сделать, чтобы получить вирус/троян?
Ну, правда, периметр корпоративный сам держу.
Валерий Скочилов wrote:
Прикупить антивирус или придумать сложный пароль для root. Думайте сами, троян прописался с правами root, Вы, как пишете, ему никак не способствовали. Хотя, как троян мог узнать пароль рута? Либо с помощью социальной инженерии (т.е. Вы его сообщили), либо подбором. И если пароль состоял из цифр, в этом ничего сложного нет.
в статье описано
Mikhail Hiretsky wrote:
Судя по отчётам антивируса - это троян Linux.Xorddos (HEUR:Trojan-DDoS.Linux.Xarcen.a). Рекомендую переустановить систему с флешки. Здесь о нем можно почитать Linux DDoS-троян скрывается за встроенным руткитом / Habr
Только мой немного отличался.
Вот ещё картинки при открытии бинарного файла из /usr/bin.
Там видны пути и содержание некоторых файлов
Валерий Скочилов wrote:
Одно удивляет (сам живу на CLDX) - никогда не возникало вирусной активности. Что надо сделать, чтобы получить вирус/троян?
сидеть под рутом и любить мимо портажа
Алексей Тихонов wrote:
Валерий Скочилов wrote:
Одно удивляет (сам живу на CLDX) - никогда не возникало вирусной активности. Что надо сделать, чтобы получить вирус/троян?
сидеть под рутом и любить мимо портажа
Не было такого.
Mikhail Hiretsky wrote:
Судя по отчётам антивируса - это троян Linux.Xorddos (HEUR:Trojan-DDoS.Linux.Xarcen.a). Рекомендую переустановить систему с флешки. Здесь о нем можно почитать Linux DDoS-троян скрывается за встроенным руткитом / Habr
Вопрос какой антивирус рекомендуете?
Не антивирус надо рекомендовать, а соблюдение мер безопасности. Например повесить SSH на нестандартном порту (раз уж компьютер торчит задом в интернет), настроить fail2ban, заблокировать неиспользуемые порты в iptables в
цепочке INPUT, усилить пароль root, не использовать sudo без пароля.