Virus na nboxie

[robert_cz]

Hm, też się zdziwiłem. odpalam htop a tam pełno wgetów ściągających różne dziwne rzeczy do \etc, mniej więcej takie jak opisane tu:

http://stackoverflow.com/questions/21800045/centos-got-hacked-in-crontab-has-been-modified

Zjada mi to coś całe wolne miejsce.

 

Spotkało to kogoś jeszcze? Jak się przed tym bronić? Jak to zablokować? Podobno dodaje wpisy do crona, ale u mnie z Linuxem nie najlepiej, może jakaś wskazówka?

 

Znalazłem w /etc/rc.local takie wpisy:

cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd
cd /etc;./sfewfesfs
cd /etc;./gfhjrtfyhuf
cd /etc;./rewgtf3er4t
cd /etc;./sdmfdsfhjfe
cd /etc;./gfhddsfew
cd /etc;./ferwfrre
cd /etc;./dsfrefr

Oczywiście niestety takie pliki wykonywalne istniały w etc.

 

Wywalam to i te pliki i zobaczę czy to wystarczy.

 

[AbrahaM]

Hm, też się zdziwiłem. odpalam htop a tam pełno wgetów ściągających różne dziwne rzeczy do \etc, mniej więcej takie jak opisane tu:

 

Proponowane doraźne działanie:

1) skopiować istotne dla ciebie pliki konfiguracyjne oscama + enigmy, (ewentualnie inne ważne pliki które masz w odbiorniku),

2) ściągnąć najnowszy obraz systemu ze strony, zflashować na nowo, i natychmiast po flashowaniu zrobić kolejną aktualizacje,

3) o ile to możliwe (bo wygląda, że to robiłeś) przestać "wystawiać" SSH na świat, w szczególności na porcie 22,

nie gwarantuje że powyższe działania wystarczą, ale są jakieś szanse, że mogą starczyć.

 

Tak czy inaczej, problem jest wybitnie ciekawy, ważne jaki jest/był wektor ataku, czyli po polsku/prosto pisząc którędy on wlazł. Czy wlazł przez lukę w jakiejś usłudze systemowej, czy też wlazł od środka przez jakąś wtyczkę, np. wtyczkę z aktualizacją online, której autorowi wpadł do głowy brzydki numer.

 

Update:

objawy pasują do szkodnika wchodzącego przez lukę w SSH :(

[tux]

Paczka nowego SSH jest w przygotowaniu bo o luce wiadomo. Niestety SH4 to nie takie na już i zaraz.

 

Jednak dwa pytania:

1. Wystawiałeś SSH na zewnątrz?

2. Jeżeli punkt 1 TAK to czy wpadłeś na pomysł wystawić SSH na porcie 22?

Tutaj należy przypomnieć, iż odkryta luka SSL dotyczy wersji 1.0.1 do 1.0.1f. Starsze wersje 1.0.0 i 0.9.8 nie mają tej luki. GraterliaOS używa wersji 0.9.8.

[robert_cz]

Tak, wystawiłem SSH na zewnątrz po porcie 22, wiem, same grzechy :-(, ale na swoją obronę mogę podać tylko to, że chciałem mieć jakiś standard u osób którym pomagam z nboxem. Od jakiegoś czasu wystawiam na portach zmodyfikowanych typu 122 itp.

Pliki które mnie zaatakowały miały datę utworzenia marzec, więc wygląda, że mam to od jakiegoś czasu, pamiętam też, że jakiś czas temu miałem podobny objaw braku miejsca i myślałem, że to po prostu śmieci się nazbierały i wgrałem wszystko od nowa.

[tux]

Kiedyś jak coś kombinowałem z IPTVPlayer to mi coś podobnego pojawiło ale nie miał 755 a 644.

[robert_cz]

Ostatnio w najaktualniejszej wersji pojawiło mi się to ponownie. dzisiaj poprawiam port i zobaczymy.

Kolejny ciekawy symptom, do do pliku /etc/profile doszło kilkaset linii o takiej postaci:

 

unstet MAILCHECK

 

Po zmianie portów niestety wróciło, szukam dalej gdzie jest źródło.

[Gość szafarz]

Niestety, zmiana portu nie jest żadną obroną. Zanim znowu nadpiszesz nową wersję może zrób kopię całego systemu, albo chociaż logów do analizy. BTW - "skomplikuj" hasło.

Możesz sshd ustawić tak, że pozwoli połączyć się tylko po podaniu prawidłowego klucza id i hasła. To może trochę utrudnić potencjalnemu dowcipnisiowi zadanie.

[robert_cz]

Niestety, zmiana portu nie jest żadną obroną. Zanim znowu nadpiszesz nową wersję może zrób kopię całego systemu, albo chociaż logów do analizy. BTW - "skomplikuj" hasło.

Możesz sshd ustawić tak, że pozwoli połączyć się tylko po podaniu prawidłowego klucza id i hasła. To może trochę utrudnić potencjalnemu dowcipnisiowi zadanie.

 

Dziękuję za pomoc, tak naprawdę pomogło posprzątanie crona.