Автор Тема: Заразен сървър с EBURY  (Прочетена 4453 пъти)

gotiniq7

  • Участници
  • ***
  • Публикации: 10
    • Профил
Заразен сървър с EBURY
« -: Apr 07, 2014, 23:00 »
Здравейте, имам убунту сървър и днес ми се обадиха от фирмата доставчик на интернет, че зад моя ИП адрес има злонамерен софтуер който яко спами. Помолиха ме да отстраня проблема, но не казаха как. Инсталирах clamAV но не намира нищо. EBURY го има със сигурност защото след командата "ipcs -m" се получи

------ Shared Memory Segments --------
key        shmid      owner      perms      bytes      nattch     status
0x00001741 0          root       666        3281900    0


Нещо може ли да се направи? Благодаря предварително
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #1 -: Apr 07, 2014, 23:32 »
?!?

Защо реши че това е доказателство за наличието на троянски кон? И то точно въпросния ebury?
Активен

"Knowledge is power" - France is Bacon

gotiniq7

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #2 -: Apr 08, 2014, 07:31 »
 How can I verify my system is infected with Ebury?

Ebury uses shared memory segments (SHMs) for interprocess communication. The SHMs created by the malware are usually at least 3 megabytes in size. Previously, the segments had broad permissions (666) set – so we recommended checking for large SHMs with broad permissions as an indicator of infection.

И ми се обадиха че има атаки от моето ИП.
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #3 -: Apr 08, 2014, 10:14 »
Доста други софтуери също използват sysv shared memory - apache, доста rdbms-и и т.н, а позволенията не са невиждани (zabbix примерно при мен би вдигнал алармата - има си няколко сегмента, които пасват и като големина и като позволения). За най-сигурно ъпдейтни ssh, рестартирай машината, разпакетирай някъде deb пакета на openssh-server от /var/cache/apt/archives някъде и сравни /usr/sbin/sshd с това от разархивирания deb пакет. Ако има разлика - с доста голяма вероятност наистина е това.
Активен

"Knowledge is power" - France is Bacon

wfw

  • Напреднали
  • *****
  • Публикации: 249
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: Заразен сървър с EBURY
« Отговор #4 -: Apr 08, 2014, 20:43 »
Този сървър случайно да раздава нет на други машини? Да не е някоя от тях? Да не би да имаш сайт на него и да изпращат през контакт форма или бъг в сайта?

Имаше една програмка, която ти сравнява чексумите на файловете с пакетите и ти казва, ако има разминавания, може да пробваш и с нея... Бях я мярнал в Debian Administrator's Handbook (което между другото е доста полезно четиво).
Активен

d0ni

  • Напреднали
  • *****
  • Публикации: 183
    • Профил
Re: Заразен сървър с EBURY
« Отговор #5 -: Apr 08, 2014, 21:44 »
debsums е командата, опция -s за да не плюе излишна информация. Преди това apt-get install debsums.
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: Заразен сървър с EBURY
« Отговор #6 -: Apr 08, 2014, 22:02 »
debsums е командата, опция -s за да не плюе излишна информация. Преди това apt-get install debsums.
Да, ама той е с Ubuntu. Не е ясно какъв ще е резултатът.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

gotiniq7

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #7 -: Apr 09, 2014, 07:09 »
Има сайт, който преди време се беше напълнил с регистрирани ботове, и чистихме регистрациите. Предполагам тогава е станало. Деинсталирах ssh, но сега отивам на работа и като се върна ще почистя ръчно каквото е останало от файловете.  Дано е решен проблема
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #8 -: Apr 10, 2014, 19:22 »
https://www.cert-bund.de/ebury-faq

Иначе да ти кажа след ebury най-доброто решение е да си преинсталираш системата, освен ако това не е подобаващо сложна операция.
На мен даже писмо ми пратиха от CERT  [_]3 Зора обаче беше, че моите системи бяха чисти и така и не хванах от къде идва. Предполагам защото имаме свободно WIFI на целия район, та някой наш наемател беше оплескал нещата.
« Последна редакция: Apr 10, 2014, 19:26 от runtime »
Активен

gotiniq7

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #9 -: Apr 11, 2014, 18:06 »
Някакви идеи да се почисти без преинсталиране?
Активен

kip

  • Напреднали
  • *****
  • Публикации: 162
  • Distribution: Debian, FreeBSD, Arch Linux
  • Window Manager: Gnome,LXDE,XFCE
    • Профил
Re: Заразен сървър с EBURY
« Отговор #10 -: Apr 12, 2014, 08:52 »
Разгледай тук.
Активен

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #11 -: Apr 12, 2014, 18:20 »
Ами принципно може да затриеш SSH сървара, ръчно затрий libkeyutils библиотеката и с find де що я има. Разгледай за странни неща във /var/tmp, tmp, home и датите на промените по файлове. Кофтито е, че веднъж компрометирана система може да е инсталирано какво ли не, да са модифицирани библиотеки, инструменти и т.н. и изхващането става сложно. Гледай за странни процеси, но не със стандарните ls, top И т.н. инструменти, а с нещо, което го е нямало до сега като например htop. За това е добре да преинсталираш :) Смени си и паролите и виж с tcpdump дали не заминава на някъде нещо при логване със клиент-а.
Активен

gotiniq7

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #12 -: Apr 18, 2014, 13:20 »
Възможно ли е, понеже сървъра е в домашна мрежа, от уиндоуса да го изчистя с аваст, битдифендър или подобни?
Активен

go_fire

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 8780
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #13 -: Apr 18, 2014, 14:18 »
Трябва да открием тема със студентски бисери. Човече изби рибата с топ, наряза паркета, паднаха плочките в банята, кучето ми (дето го нямам) получи инфаркт и изригна вулкана Етна. Направо ми оправи настроението не за деня, не за седмица напред, а до следващата високосна година.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

gotiniq7

  • Участници
  • ***
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #14 -: Apr 18, 2014, 17:36 »
Точно това си мислех и аз, въпреки че така ме посъветва познат. Предполагам е имал предвид да сваля харда, и да го закача на друга машина, или въобще да не знае за какво става дума.
Активен