Freesco, NND, CDN, EOS :: Wyświetl temat - Perl pożerający zasoby ...

Sprawdź lepiej, jaki to proces perla, jaki skrypt się wykonuje.
Samo dobijanie się nie jest groźne. Jednak przy zestawieniu 22 i 6667 zachodzi podejrzenie, że masz odpalone jakieś badziewie do skanowania hostów. Sprawdź /tmp i /var/tmp czy nie ma tam podejrzanych plików.

Sposoby włamania są rozmaite. ciach...

W zasadzie rada jest tylko jedna. Zrobić rm -fr /.
Sądzę, ze włamanie nastąpiło przez dziurawy phpnuke i zapewne w nim znajdują się zainstalowane obecnie furtki, które pozwolą włamywaczowi szybko odzyskać kontrolę po wyrzuceniu zainstalowanych obecnie śmieci.
Jeśli na serwerze miałeś wersję devel, to powinieneś system zainstalować na nowo jeszcze dzisiaj.

Autor:	Kszych [ poniedziałek, 11 stycznia 2010, 09:21 ]
Tytuł:	Perl pożerający zasoby ...
Witam, ostatnio nie wiedzieć z jakiego powodu (żadne zmiany na serwerze) perl zżera zasoby procesora. Na printscr widać procesy perla była już sytuacja że było ich 6 ... W czym problem ? edit: Nie wiem czy to ma coś wspólnego ale ostatnio ktoś uporczywie łączy się z moim serwerem na porcie 22 i 6667 przepotężnie wysycając upload. Zablokowałem porty,zobaczymy co dalej. Adresy hostów z których się dobijają: 85.214.45.170 ,61.137.93.80

Autor:	Maciek [ poniedziałek, 11 stycznia 2010, 13:14 ]
Tytuł:
Sprawdź lepiej, jaki to proces perla, jaki skrypt się wykonuje. Samo dobijanie się nie jest groźne. Jednak przy zestawieniu 22 i 6667 zachodzi podejrzenie, że masz odpalone jakieś badziewie do skanowania hostów. Sprawdź /tmp i /var/tmp czy nie ma tam podejrzanych plików.

Autor:	Kszych [ poniedziałek, 11 stycznia 2010, 14:59 ]
Tytuł:
Maciek pisze: Sprawdź lepiej, jaki to proces perla, jaki skrypt się wykonuje. Samo dobijanie się nie jest groźne. Jednak przy zestawieniu 22 i 6667 zachodzi podejrzenie, że masz odpalone jakieś badziewie do skanowania hostów. Sprawdź /tmp i /var/tmp czy nie ma tam podejrzanych plików. Aktualnie, po restarcie serwera proces nie wykonuje się, /var/tmp czysto za to w /tmp widzę exploita wunderbar_emporium.tgz i bruteBR.tar oba również w rozpakowanych katalogach. Nie jestem na tyle zaawansowany żeby prześledzić sposób jego działania i jak się uruchamia. Czy samo usunięcie rozwiąże problem ? Jak się tam znalazły, myślę że oba hasła mam dość mocne. Znalazłem taki opis tematu http://osnews.pl/krytyczna-luka-w-jadrze-linuksa-zalatana/

Autor:	Maciek [ poniedziałek, 11 stycznia 2010, 15:08 ]
Tytuł:
Sposoby włamania są rozmaite. Nie mam danych, by to stwierdzić dokładnie, ale możemy sobie pogdybać. 1. Złapałeś wirusa na windowsie, który jest keyloggerem i w ten sposób twoje hasło dostało się do włamywacza. 2. Używasz ftp na koncie użytkownika, a tam hasła lecą otwartym tekstem. Ktoś zesnifował hasło. 3. Ktoś nie chronił hasła i można je było odczytać np. na stickerze przylepionym do monitora. 4. Któryś z użytkowników miał łatwe hasło lub tzw hasło słownikowe. 5. Włamanie nastąpiło przez www przy użyciu eksploitów - możliwości są rozmaite, dziurawe skrypty php są dość powszechne.

Autor:	Kszych [ poniedziałek, 11 stycznia 2010, 15:14 ]
Tytuł:
Maciek pisze: Sposoby włamania są rozmaite. ciach... Na priv wysłałem Ci link do zawartości skopiowanego katalogu, z wcześniejszego linku zamieszczonego na forum wskazuje na problem w jądrze który ponoć istniał od dawna. Pytanie najważniejsze co wywalić aby problem się rozwiązał ? Skrypty na pewno są uruchamiane z /tmp

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Perl pożerający zasoby ... http://forum.freesco.pl/viewtopic.php?f=24&t=17985	Strona 1 z 1

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/

Autor:	Maciek [ poniedziałek, 11 stycznia 2010, 16:06 ]
Tytuł:
Postawienie od nowa systemu nigdy nie jest bezcelowe. Eksploit, żeby zadziałać - musi się najpierw dostać do systemu. Bez szczegółowej analizy systemu nie jestem w stanie powiedzieć, czy ten eksploit zadziałał i czy dał roota włamywaczowi. Jedynym sposobem byłoby zrobienie obrazu partycji systemowej i przeanalizowanie go.