Автор Тема: Заразен сървър с EBURY  (Прочетена 2986 пъти)

gotiniq7

  • Участник
  • *****
  • Публикации: 10
    • Профил
Заразен сървър с EBURY
« -: Апр 07, 2014, 23:00 »
Здравейте, имам убунту сървър и днес ми се обадиха от фирмата доставчик на интернет, че зад моя ИП адрес има злонамерен софтуер който яко спами. Помолиха ме да отстраня проблема, но не казаха как. Инсталирах clamAV но не намира нищо. EBURY го има със сигурност защото след командата "ipcs -m" се получи

------ Shared Memory Segments --------
key        shmid      owner      perms      bytes      nattch     status
0x00001741 0          root       666        3281900    0


Нещо може ли да се направи? Благодаря предварително
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #1 -: Апр 07, 2014, 23:32 »
?!?

Защо реши че това е доказателство за наличието на троянски кон? И то точно въпросния ebury?
Активен

"Knowledge is power" - France is Bacon

gotiniq7

  • Участник
  • *****
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #2 -: Апр 08, 2014, 07:31 »
 How can I verify my system is infected with Ebury?

Ebury uses shared memory segments (SHMs) for interprocess communication. The SHMs created by the malware are usually at least 3 megabytes in size. Previously, the segments had broad permissions (666) set – so we recommended checking for large SHMs with broad permissions as an indicator of infection.

И ми се обадиха че има атаки от моето ИП.
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #3 -: Апр 08, 2014, 10:14 »
Доста други софтуери също използват sysv shared memory - apache, доста rdbms-и и т.н, а позволенията не са невиждани (zabbix примерно при мен би вдигнал алармата - има си няколко сегмента, които пасват и като големина и като позволения). За най-сигурно ъпдейтни ssh, рестартирай машината, разпакетирай някъде deb пакета на openssh-server от /var/cache/apt/archives някъде и сравни /usr/sbin/sshd с това от разархивирания deb пакет. Ако има разлика - с доста голяма вероятност наистина е това.
Активен

"Knowledge is power" - France is Bacon

wfw

  • Участник
  • *****
  • Публикации: 247
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: Заразен сървър с EBURY
« Отговор #4 -: Апр 08, 2014, 20:43 »
Този сървър случайно да раздава нет на други машини? Да не е някоя от тях? Да не би да имаш сайт на него и да изпращат през контакт форма или бъг в сайта?

Имаше една програмка, която ти сравнява чексумите на файловете с пакетите и ти казва, ако има разминавания, може да пробваш и с нея... Бях я мярнал в Debian Administrator's Handbook (което между другото е доста полезно четиво).
Активен

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
Re: Заразен сървър с EBURY
« Отговор #5 -: Апр 08, 2014, 21:44 »
debsums е командата, опция -s за да не плюе излишна информация. Преди това apt-get install debsums.
Активен

laskov

  • Участник
  • *****
  • Публикации: 2851
    • Профил
Re: Заразен сървър с EBURY
« Отговор #6 -: Апр 08, 2014, 22:02 »
debsums е командата, опция -s за да не плюе излишна информация. Преди това apt-get install debsums.
Да, ама той е с Ubuntu. Не е ясно какъв ще е резултатът.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

gotiniq7

  • Участник
  • *****
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #7 -: Апр 09, 2014, 07:09 »
Има сайт, който преди време се беше напълнил с регистрирани ботове, и чистихме регистрациите. Предполагам тогава е станало. Деинсталирах ssh, но сега отивам на работа и като се върна ще почистя ръчно каквото е останало от файловете.  Дано е решен проблема
Активен

runtime

  • Участник
  • *****
  • Публикации: 805
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #8 -: Апр 10, 2014, 19:22 »
https://www.cert-bund.de/ebury-faq

Иначе да ти кажа след ebury най-доброто решение е да си преинсталираш системата, освен ако това не е подобаващо сложна операция.
На мен даже писмо ми пратиха от CERT  [_]3 Зора обаче беше, че моите системи бяха чисти и така и не хванах от къде идва. Предполагам защото имаме свободно WIFI на целия район, та някой наш наемател беше оплескал нещата.
« Последна редакция: Апр 10, 2014, 19:26 от runtime »
Активен

gotiniq7

  • Участник
  • *****
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #9 -: Апр 11, 2014, 18:06 »
Някакви идеи да се почисти без преинсталиране?
Активен

kip

  • Участник
  • *****
  • Публикации: 162
  • Distribution: Debian, FreeBSD, Arch Linux
  • Window Manager: Gnome,LXDE,XFCE
    • Профил
Re: Заразен сървър с EBURY
« Отговор #10 -: Апр 12, 2014, 08:52 »
Разгледай тук.
Активен

runtime

  • Участник
  • *****
  • Публикации: 805
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #11 -: Апр 12, 2014, 18:20 »
Ами принципно може да затриеш SSH сървара, ръчно затрий libkeyutils библиотеката и с find де що я има. Разгледай за странни неща във /var/tmp, tmp, home и датите на промените по файлове. Кофтито е, че веднъж компрометирана система може да е инсталирано какво ли не, да са модифицирани библиотеки, инструменти и т.н. и изхващането става сложно. Гледай за странни процеси, но не със стандарните ls, top И т.н. инструменти, а с нещо, което го е нямало до сега като например htop. За това е добре да преинсталираш :) Смени си и паролите и виж с tcpdump дали не заминава на някъде нещо при логване със клиент-а.
Активен

gotiniq7

  • Участник
  • *****
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #12 -: Апр 18, 2014, 13:20 »
Възможно ли е, понеже сървъра е в домашна мрежа, от уиндоуса да го изчистя с аваст, битдифендър или подобни?
Активен

go_fire

  • Участник
  • *****
  • Публикации: 5249
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Заразен сървър с EBURY
« Отговор #13 -: Апр 18, 2014, 14:18 »
Трябва да открием тема със студентски бисери. Човече изби рибата с топ, наряза паркета, паднаха плочките в банята, кучето ми (дето го нямам) получи инфаркт и изригна вулкана Етна. Направо ми оправи настроението не за деня, не за седмица напред, а до следващата високосна година.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

gotiniq7

  • Участник
  • *****
  • Публикации: 10
    • Профил
Re: Заразен сървър с EBURY
« Отговор #14 -: Апр 18, 2014, 17:36 »
Точно това си мислех и аз, въпреки че така ме посъветва познат. Предполагам е имал предвид да сваля харда, и да го закача на друга машина, или въобще да не знае за какво става дума.
Активен