|
Титла: Заразен сървър с EBURY Публикувано от: gotiniq7 в Apr 07, 2014, 23:00 Здравейте, имам убунту сървър и днес ми се обадиха от фирмата доставчик на интернет, че зад моя ИП адрес има злонамерен софтуер който яко спами. Помолиха ме да отстраня проблема, но не казаха как. Инсталирах clamAV но не намира нищо. EBURY го има със сигурност защото след командата "ipcs -m" се получи
------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x00001741 0 root 666 3281900 0 Нещо може ли да се направи? Благодаря предварително Титла: Re: Заразен сървър с EBURY Публикувано от: gat3way в Apr 07, 2014, 23:32 ?!?
Защо реши че това е доказателство за наличието на троянски кон? И то точно въпросния ebury? Титла: Re: Заразен сървър с EBURY Публикувано от: gotiniq7 в Apr 08, 2014, 07:31 How can I verify my system is infected with Ebury?
Ebury uses shared memory segments (SHMs) for interprocess communication. The SHMs created by the malware are usually at least 3 megabytes in size. Previously, the segments had broad permissions (666) set – so we recommended checking for large SHMs with broad permissions as an indicator of infection. И ми се обадиха че има атаки от моето ИП. Титла: Re: Заразен сървър с EBURY Публикувано от: gat3way в Apr 08, 2014, 10:14 Доста други софтуери също използват sysv shared memory - apache, доста rdbms-и и т.н, а позволенията не са невиждани (zabbix примерно при мен би вдигнал алармата - има си няколко сегмента, които пасват и като големина и като позволения). За най-сигурно ъпдейтни ssh, рестартирай машината, разпакетирай някъде deb пакета на openssh-server от /var/cache/apt/archives някъде и сравни /usr/sbin/sshd с това от разархивирания deb пакет. Ако има разлика - с доста голяма вероятност наистина е това.
Титла: Re: Заразен сървър с EBURY Публикувано от: wfw в Apr 08, 2014, 20:43 Този сървър случайно да раздава нет на други машини? Да не е някоя от тях? Да не би да имаш сайт на него и да изпращат през контакт форма или бъг в сайта?
Имаше една програмка, която ти сравнява чексумите на файловете с пакетите и ти казва, ако има разминавания, може да пробваш и с нея... Бях я мярнал в Debian Administrator's Handbook (което между другото е доста полезно четиво). Титла: Re: Заразен сървър с EBURY Публикувано от: d0ni в Apr 08, 2014, 21:44 debsums е командата, опция -s за да не плюе излишна информация. Преди това apt-get install debsums.
Титла: Re: Заразен сървър с EBURY Публикувано от: laskov в Apr 08, 2014, 22:02 debsums е командата, опция -s за да не плюе излишна информация. Преди това apt-get install debsums.Да, ама той е с Ubuntu. Не е ясно какъв ще е резултатът. Титла: Re: Заразен сървър с EBURY Публикувано от: gotiniq7 в Apr 09, 2014, 07:09 Има сайт, който преди време се беше напълнил с регистрирани ботове, и чистихме регистрациите. Предполагам тогава е станало. Деинсталирах ssh, но сега отивам на работа и като се върна ще почистя ръчно каквото е останало от файловете. Дано е решен проблема
Титла: Re: Заразен сървър с EBURY Публикувано от: runtime в Apr 10, 2014, 19:22 https://www.cert-bund.de/ebury-faq
Иначе да ти кажа след ebury най-доброто решение е да си преинсталираш системата, освен ако това не е подобаващо сложна операция. На мен даже писмо ми пратиха от CERT [_]3 Зора обаче беше, че моите системи бяха чисти и така и не хванах от къде идва. Предполагам защото имаме свободно WIFI на целия район, та някой наш наемател беше оплескал нещата. Титла: Re: Заразен сървър с EBURY Публикувано от: gotiniq7 в Apr 11, 2014, 18:06 Някакви идеи да се почисти без преинсталиране?
Титла: Re: Заразен сървър с EBURY Публикувано от: kip в Apr 12, 2014, 08:52 Разгледай тук ($2).
Титла: Re: Заразен сървър с EBURY Публикувано от: runtime в Apr 12, 2014, 18:20 Ами принципно може да затриеш SSH сървара, ръчно затрий libkeyutils библиотеката и с find де що я има. Разгледай за странни неща във /var/tmp, tmp, home и датите на промените по файлове. Кофтито е, че веднъж компрометирана система може да е инсталирано какво ли не, да са модифицирани библиотеки, инструменти и т.н. и изхващането става сложно. Гледай за странни процеси, но не със стандарните ls, top И т.н. инструменти, а с нещо, което го е нямало до сега като например htop. За това е добре да преинсталираш :) Смени си и паролите и виж с tcpdump дали не заминава на някъде нещо при логване със клиент-а.
Титла: Re: Заразен сървър с EBURY Публикувано от: gotiniq7 в Apr 18, 2014, 13:20 Възможно ли е, понеже сървъра е в домашна мрежа, от уиндоуса да го изчистя с аваст, битдифендър или подобни?
Титла: Re: Заразен сървър с EBURY Публикувано от: go_fire в Apr 18, 2014, 14:18 Трябва да открием тема със студентски бисери. Човече изби рибата с топ, наряза паркета, паднаха плочките в банята, кучето ми (дето го нямам) получи инфаркт и изригна вулкана Етна. Направо ми оправи настроението не за деня, не за седмица напред, а до следващата високосна година.
Титла: Re: Заразен сървър с EBURY Публикувано от: gotiniq7 в Apr 18, 2014, 17:36 Точно това си мислех и аз, въпреки че така ме посъветва познат. Предполагам е имал предвид да сваля харда, и да го закача на друга машина, или въобще да не знае за какво става дума.
Титла: Re: Заразен сървър с EBURY Публикувано от: Acho в Apr 18, 2014, 17:45 Хахахаххаххааааааааааааааа Go_fire, паднах от смях.
|