.mylisthb.pid,.mylisthbx.pid,IptabLes.pid,IptabLex.pid

Поради та підказки щодо софту, роботи в операційних системах, комплектуючих та зборок комп'ютерів.
Відповісти
Аватар користувача
toxi
Администратор
Администратор
Статті: 0
Повідомлень: 532
З нами з: 12-04-2008 07:58:25
Ваша стать: Чоловічий
І'мя: Roman
Контактна інформація:
Контактна інформація користувача toxi

.mylisthb.pid,.mylisthbx.pid,IptabLes.pid,IptabLex.pid

Повідомлення toxi »

На днях нужно было настроить новый сервер (четверг 5-02-2015). Решил поставить на него Debian 6.0.10 с официального сайта, так как мне нравится эта ветка Unix-подобных систем.
Установка прошла без проблем. Все корректно работало. На систему было установлено дополнительное ПО, так же с официальных сайтов для выполнения нужных задач. Все было готово к старту проекта.
Придя в понедельник (9-02-2015) на работу, подключаюсь к серверу через удаленное управление и здесь начинаются жуткие тормоза. Сначала не понял в чем проблема, подумал Интернет висит. Проверил качество и скорость Интернет-канала на работе, все в порядке, стал проверять дальше. Запустил пинг к серверу, пинг был с большими перерывами и большими задержками. Подумал я, нужно звонить в ДЦ, чтобы проверяли.
Через некоторое время пришел ответ от техподдежки, что с их стороны все ок и сказали, что идет большой поток трафика с самого сервера. Стал проверять в чем дело. С трудом попал на сервер, запустил мониторинг сетевой нагрузки. В результате увидил IP адреса, которые грузят на полную сеть на исходящий трафик: 162.218.53.18, 70.39.110.250, 70.39.110.251.
Так же было случайно обнаружено, что в корне системного диска создаются файлы: .mylisthb.pid,.mylisthbx.pid,.IptabLes.pid,.IptabLex.pid
При попытке удалить, они появлялись снова. В Интернете нашел способы, как можно обезвредить их и решил лучше переустановить полностью всю систему, так как это было надежнее, а восстановление настроек заняло несколько минут.
В Интернете пишут, что это Malware.
Статью решил написать на русском, там как все, что искал по этому Трояну, очень мало и все ресурсы англоязычные.
Возможно кому-то поможет эта статья =)

Скрины:
Вирус 1
Вирус 1
Вирус 2
Вирус 2
P.S.: Как попал вирус в систему для меня загадка, так как порты закрыты. Склоняюсь к тому, что система была заражена уже с самого начала. Не факт, только предположение.
Так же этот Троян удаляет абсолютно все файлы в системе, при этом нагружая сеть до предела, чтобы админ не смог убить процесс Трояна. Троян забивает весь канал на 80 порту.
В WireShark в PlainHex Text видно примерно такие строки:

Код: Виділити все

 /.httpd,/root/1.syn,/var/tmp/init2,/bin/dyoen
filename=/usr1/bitsync/btsync,/etc/2003,/etc/top,/etc/qs8glscl,/etc/mysq,/etc/GET2.3cKB.Puppet,/var/tmp/.oho,/var/tmp/init,/tmp/sshd,/tmp/Linux2.6,/tmp/Internet,/tmp/netstat
filename=/tmp/sshz,/bin/tmp,/tmp/36000 (deleted),/tmp/.flush,/tmp/x64,/tmp/2170,/tmp/2171,/tmp/stkfehqdts,/root/xin,/root/JCVV,/tmp/.csyn,/tmp/.zte/scanssh,/root/bssh/ssh2,/root/gosh/ssh-scan
filename=/tmp/.xgde/brute,/tmp/Acske0,/root/http,/root/9982.4,/root/pjgh,/root/tjnes,/root/xiaoze,/etc/phyy,/var/CC2131,/etc/gfhddsfew,/tmp/brutessh,/tmp/. /.fresh/hald (deleted)
filename=/root/VPS/VPS/update,/tmp/helpf,/root/dllhost,/root/snylin,/tmp/go-build933153707/command-line-arguments/_obj/exe/check

rmfile=/tmp/.sshhdd,/tmp/.sshdd,/etc/.SSH2,/etc/.SSHH2,/etc/Gates_18452_BTC,/root/gonne-sysadmin,/etc/Gates_36000,/root/cao,/root/ssh
rmfile=/etc/dbus-daemon,/

longone,/server/myzxvideo
filename=/run/vard,/root/netstat,/root/sshb,/root/azwen,/tmp/inia,/tmp/ops800,/root/26antian,/tmp/sudp,/root/Linux32,/root/ppsh6,/root/.sa_,/root/anniu
filename=/root/anzong118,/root/6ip,/root/g36000,/boot/l24,/etc/Lsy,/root/tufei,/root/man,/root/anzong40026,/root/anzong40018,/root/m,/root/sysyang
filename=/tmp/system,/root/fyzx,/etc/IptabLIi,/tmp/ljwxudzglh,/tmp/tufei,/etc/1q2w3e,/mnt/Systenm,/root/64mm,/tmp/ccav,/etc/Ldx,/etc/dsgregd,/root/xiaoma32
filename=/bin/ethtool,/usr/local/games/... /-. /ALPHA/ncrack,/root/anzong,/tmp/mini,/etc/sshb,/tmp/iniatwo,/tmp/run/.fresh/hald,/root/L24_24011,/root/helpf
filename=/etc/udevd,/boot/ksdrips,/root/kthreado,/tmp/dsgregd,/tmp/wtddiqmzqg,/tmp/udevd,/root/59000,/root/TSmyy,/boot/.IptabLes,/tmp/baba,/boot/.IptabLex
filename=/tmp/. /.fresh/hald,/dev/shm/. /.VIPhack/scanssh,/var/tmp/.nynew/b,/tmp/squid64,/

 /.httpd,/root/1.syn,/var/tmp/init2,/bin/dyoen
filename=/usr1/bitsync/btsync,/etc/2003,/etc/top,/etc/qs8glscl,/etc/mysq,/etc/GET2.3cKB.Puppet,/var/tmp/.oho,/var/tmp/init,/tmp/sshd,/tmp/Linux2.6,/tmp/Internet,/tmp/netstat
filename=/tmp/sshz,/bin/tmp,/tmp/36000 (deleted),/tmp/.flush,/tmp/x64,/tmp/2170,/tmp/2171,/tmp/stkfehqdts,/root/xin,/root/JCVV,/tmp/.csyn,/tmp/.zte/scanssh,/root/bssh/ssh2,/root/gosh/ssh-scan
filename=/tmp/.xgde/brute,/tmp/Acske0,/root/http,/root/9982.4,/root/pjgh,/root/tjnes,/root/xiaoze,/etc/phyy,/var/CC2131,/etc/gfhddsfew,/tmp/brutessh,/tmp/. /.fresh/hald (deleted)
filename=/root/VPS/VPS/update,/tmp/helpf,/root/dllhost,/root/snylin,/tmp/go-build933153707/command-line-arguments/_obj/exe/check

rmfile=/tmp/.sshhdd,/tmp/.sshdd,/etc/.SSH2,/etc/.SSHH2,/etc/Gates_18452_BTC,/root/gonne-sysadmin,/etc/Gates_36000,/root/cao,/root/ssh
rmfile=/etc/dbus-daemon,/
Как видно из этих строк, троян ищет файлы в системе и производит заражение, при этом удаляя сситемные файлы через команду rmfile
В WireShark видно, что за одну секунду проходит много пакетов, что не нормально при нормальной работе сервера.
tcpdump
tcpdump
Ссылки, где можно найти ответ (за работоспособность не ручаюсь, так как я просто переустановил систему с полным форматированием диска, балго на сервере крутится несколько мелких сервисов, которые быстро переустанавливаются):
http://www.linuxquestions.org/questions ... page2.html
http://www.programering.com/q/MTM4UjNwATk.html
http://blog.malwaremustdie.org/2014/06/ ... f-elf.html
http://m.hup.hu/shownode/node/130964
https://malwr.com/analysis/OTgxNjhiZWJi ... ZmYzEwMjg/
Правила форуму :: Виконую послуги IT-адміністратора (види послуг).
Догори
Відповісти

Повернутись до “F1: Поради та підказки”