Re: странные kernel ошибки в логе
Загрузитесь с лайва и проверьте: - Наличие каталога /etc/ld.preload.config (и если есть, то содержимое). - Содержимое /etc/modprobe.d - Модули для текущего ядра в /lib (что-нибудь типа find /lib/modules/4.9.0-3-amd64/ -exec dpkg -S {} \; | grep -v '.*: /lib/modules') - /etc/rc.local - profile и profile.d (для пользователей тоже и для разных оболочек). - Лишние службы systemd (в /lib/systemd и в /etc/systemd). Что-нибудь ещё, думаю, стоит проверить? Любопытно, аналог autoruns для Linux есть? 28.07.2017 11:13, Sohin Vyacheslav пишет: > > > 27.07.2017 21:03, artiom пишет: >> Скиньте бинарь. > > > нагуглил только 1 ссылку по запросу vnsoxpd: > http://forexhelper.co.uk/archive/vnso > > > но это явно не в кассу(( >
Re: странные kernel ошибки в логе
29.07.2017 07:35, Artem Chuprina пишет: > Артём Н. -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:49:44 > +0300: > > >>> Скиньте бинарь. > >> > >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z > >> > > Действительно, это "обычный майнер"... > > С открытыми исходниками (см. по строкам, там даже Usage сохранился), > ссылку на которые дали выше. > > С непострипанной отладочной информацией. > > И даже вирустоталом он определяется, как майнер. > > > Майнинг сервер: xmr.crypto-pool.fr: > > Майнит он некий cryptonight (очередная криптовалюта). > > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 > > > Почему он криво работает, я разбираться не стал. > > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор > просто выкинул все проверки, > > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его > пытается использовать). > > Так автору майнера это не надо. Автор его имел в виду честно > использовать там, где железо подходящее. > > Криворук в данном случае автор вируса, который использует этот майнер в > качестве payload'а. Зато, возможно, дешев. > И всё-таки я бы поостерёгся называть систему доставки "вирусом": терминологически это некорректно. Часто путают. Вирусы, по-идее, в начале 2000-х вымерли, в чистом виде.
Re: странные kernel ошибки в логе
29.07.2017 07:35, Artem Chuprina пишет: > Артём Н. -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:49:44 > +0300: > > >>> Скиньте бинарь. > >> > >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z > >> > > Действительно, это "обычный майнер"... > > С открытыми исходниками (см. по строкам, там даже Usage сохранился), > ссылку на которые дали выше. > > С непострипанной отладочной информацией. > > И даже вирустоталом он определяется, как майнер. > > > Майнинг сервер: xmr.crypto-pool.fr: > > Майнит он некий cryptonight (очередная криптовалюта). > > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 > > > Почему он криво работает, я разбираться не стал. > > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор > просто выкинул все проверки, > > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его > пытается использовать). > > Так автору майнера это не надо. Автор его имел в виду честно > использовать там, где железо подходящее. > Имелся ввиду автор бинаря. Автор оригинального майнера делает кучу проверок. Он не криворук по определению. > Криворук в данном случае автор вируса, который использует этот майнер в > качестве payload'а. Зато, возможно, дешев. > Это криво модифицированный майнер. Остались вопросы по механизму загрузки на машину жертвы.
Re: Цепочка ключей
29.07.2017 07:58, Tim Sattarov пишет: > On 28/07/17 11:56 PM, artiom wrote: >> Почему у меня, при попытке открыть почтовый клиент, DE требует >> "разблокировать цепочку ключей"? >> Я ничего такого не использую и не заказывал. >> Что это за помойка, и кто мне пытается навязать очередное "безопасное >> хранилище" (что нужно удалить)? >> Гуглил когда-то. >> Не помогло. >> > Видать твой почтовый клиент хранит твои пароли, в защищенном хранилище. > Если КДЕ - то это kwallet, непонятно, чего ты ещё ожидал, что он их > будет держать в открытом тексте где нибудь на диске ? > Или ты настроил сам мастер пароль в thunderbird, судя по твоему X-Mailer. > > http://com-agilebits-users.s3.amazonaws.com/tim/shots/2017-07-29-00-57-27.png > > gnome-keyring непонятно откуда был установлен. Снёс. Сейчас kwallet выключу. Средствами thunderbird ничего не храню точно.
Re: Цепочка ключей
On 28/07/17 11:56 PM, artiom wrote: > Почему у меня, при попытке открыть почтовый клиент, DE требует > "разблокировать цепочку ключей"? > Я ничего такого не использую и не заказывал. > Что это за помойка, и кто мне пытается навязать очередное "безопасное > хранилище" (что нужно удалить)? > Гуглил когда-то. > Не помогло. > Видать твой почтовый клиент хранит твои пароли, в защищенном хранилище. Если КДЕ - то это kwallet, непонятно, чего ты ещё ожидал, что он их будет держать в открытом тексте где нибудь на диске ? Или ты настроил сам мастер пароль в thunderbird, судя по твоему X-Mailer. http://com-agilebits-users.s3.amazonaws.com/tim/shots/2017-07-29-00-57-27.png
Re: systemd не поднимает интерфейс из /etc/network/interfaces
Tim Sattarov -> debian-russian@lists.debian.org @ Fri, 28 Jul 2017 18:07:13 -0400: >> В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), >> другой >> статически описан в /etc/network/interfaces и не инициализируеться при >> старте. >> >> Комадной: >> >> sudo /sbin/ifup eth1 >> >> поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ? >> >> Или нужно поколдовать с systemd? >> > Нескромный вопрос: а он прописан как auto ? Кстати, да, вот об этом я и не подумал. А, однако, это первое, что можно забыть на ровном месте при ручном прописывании.
Re: странные kernel ошибки в логе
Артём Н. -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:49:44 +0300: >>> Скиньте бинарь. >> >> Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z >> > Действительно, это "обычный майнер"... > С открытыми исходниками (см. по строкам, там даже Usage сохранился), ссылку > на которые дали выше. > С непострипанной отладочной информацией. > И даже вирустоталом он определяется, как майнер. > Майнинг сервер: xmr.crypto-pool.fr: > Майнит он некий cryptonight (очередная криптовалюта). > Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 > Почему он криво работает, я разбираться не стал. > Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор просто > выкинул все проверки, > видимо какая-то фигня при работе с XMM расширением (сразу в начале он его > пытается использовать). Так автору майнера это не надо. Автор его имел в виду честно использовать там, где железо подходящее. Криворук в данном случае автор вируса, который использует этот майнер в качестве payload'а. Зато, возможно, дешев.
Re: Цепочка ключей
29.07.2017 07:32, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:56:12 +0300: > > > Почему у меня, при попытке открыть почтовый клиент, DE требует > > "разблокировать цепочку ключей"? > > Я ничего такого не использую и не заказывал. > > Что это за помойка, и кто мне пытается навязать очередное "безопасное > > хранилище" (что нужно удалить)? > > DE :) В смысле, у DE такая парадигма. Или свобода в решениях, или DE, > где подумали за тебя. > Да, подумали за меня, дав очевидно настроить то, что они додумать не смогли, а сейчас я вижу какую-то хрень с двумя кнопками: "Разблокировать" и "Отмена", - кнопку "Отключить эту помойку" они явно забыли. > gnome-keyring, скорее всего. Или что-нибудь еще со словом keyring в > имени пакета. > Самое интересное, что я пользуюсь KDE. Откуда там gnome-keyring?
Re: Цепочка ключей
artiom -> debian-russian@lists.debian.org @ Sat, 29 Jul 2017 06:56:12 +0300: > Почему у меня, при попытке открыть почтовый клиент, DE требует > "разблокировать цепочку ключей"? > Я ничего такого не использую и не заказывал. > Что это за помойка, и кто мне пытается навязать очередное "безопасное > хранилище" (что нужно удалить)? DE :) В смысле, у DE такая парадигма. Или свобода в решениях, или DE, где подумали за тебя. gnome-keyring, скорее всего. Или что-нибудь еще со словом keyring в имени пакета.
Re: странные kernel ошибки в логе
Короче, ничего интересного. Интереснее выяснить: - Как вы его словили? - Каков механизм сокрытия процесса? - Как он запускается? 28.07.2017 11:03, Sohin Vyacheslav пишет: > > > 27.07.2017 21:03, artiom пишет: >> Скиньте бинарь. > > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z >
Цепочка ключей
Почему у меня, при попытке открыть почтовый клиент, DE требует "разблокировать цепочку ключей"? Я ничего такого не использую и не заказывал. Что это за помойка, и кто мне пытается навязать очередное "безопасное хранилище" (что нужно удалить)? Гуглил когда-то. Не помогло.
Re: странные kernel ошибки в логе
On 28.07.2017 11:03, Sohin Vyacheslav wrote: 27.07.2017 21:03, artiom пишет: Скиньте бинарь. Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z Действительно, это "обычный майнер"... С открытыми исходниками (см. по строкам, там даже Usage сохранился), ссылку на которые дали выше. С непострипанной отладочной информацией. И даже вирустоталом он определяется, как майнер. Майнинг сервер: xmr.crypto-pool.fr: Майнит он некий cryptonight (очередная криптовалюта). Видимо, это кошелёк: 46qz79xUEuijoncPp3T96o2uLg9UFoyT6SKT6t2 Почему он криво работает, я разбираться не стал. Криворукий (не скажу, что дурачок, ибо начинать надо с малого) автор просто выкинул все проверки, видимо какая-то фигня при работе с XMM расширением (сразу в начале он его пытается использовать).
Re: systemd не поднимает интерфейс из /etc/network/interfaces
On 28/07/17 04:28 PM, Oleksandr Gavenko wrote: > В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), другой > статически описан в /etc/network/interfaces и не инициализируеться при старте. > > Комадной: > > sudo /sbin/ifup eth1 > > поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ? > > Или нужно поколдовать с systemd? > Нескромный вопрос: а он прописан как auto ?
Re: systemd не поднимает интерфейс из /etc/network/interfaces
Oleksandr Gavenko -> debian-russian@lists.debian.org @ Fri, 28 Jul 2017 23:28:41 +0300: > В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), другой > статически описан в /etc/network/interfaces и не инициализируеться при > старте. > Комадной: > sudo /sbin/ifup eth1 > поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ? > Или нужно поколдовать с systemd? В jessie - используется. Ну, с systemd не пробовал... На той машинке, где есть systemd, /etc/network/interfaces слишком дефолтный... На тестовой виртуалке со stretch вот сейчас провел эксперимент с заменой sysvinit-core на systemd-sysv, предварительно настроив вторую сетевку в /etc/network/interfaces (вернее, первую - изначально была вторая). Подхватил. А вот чего ни на одной из этих машин не было, нет, и не будет, так это Network Manager'а.
systemd не поднимает интерфейс из /etc/network/interfaces
В виртуалочке один интерфейс NAT в мир (разрешаеться по DHCP наверно), другой статически описан в /etc/network/interfaces и не инициализируеться при старте. Комадной: sudo /sbin/ifup eth1 поднимаеться. Это в Jessy уже не используеться /etc/network/interfaces ? Или нужно поколдовать с systemd? -- http://defun.work/
принудительный relatime
Хмутро. А скажите пожалуйста, граждане, откуда у нас в stretch берется принудительный relatime при монтировании? Грепом по /etc не находится, а при монтировании zfs внезапно включается, хотя в свойствах dataset'а выключен. Я просто почитал, какие именно тараканы у zfs'ного relatime (таракан там, собственно, один - обновление не чаще раза в сутки, а atime на практике чаще бывает интересно за последние несколько секунд, когда выясняешь, кого читали, а кого нет...), и решил было выключить, ан нет... Ну, то есть, в свойствах датасета оно выключено, но при монтировании включается. Причем так просто не выключишь, блин... У /, который монтируется отдельно (средствами initrd, я так полагаю, ибо в fstab он не упомянут), это снимается явным указанием zfs set relatime=off в процессе. А у /var и /var/tmp, которые монтируются через fstab (соответствующий скрипт полагает, что иначе будет слишком поздно), не снимается. Снимается только mount -o remount,strictatime. А вовсе не norelatime... При zfs mount -a вроде не включается... Ну, что логично, при этом mount не используется. Хотя, конечно, по здравом размышлении, когда мне нужен оперативный atime, я могу и со strictatime перемонтироваться, а так-то relatime - правильная опция... P.S. Отдельно доставляет тот факт, что в туториалах предлагают устраивать принудительный последовательный режим, а в дистрибутиве в пакете zfsutils-linux поддержка только systemd... Ну, туториал, правда, еще времен jessie-backports. Это я снес systemd и загрузился. Загрузиться-то загрузился, а zfs mount -a не отработал, ибо кто бы его запустил? Кстати, почитав сервисы, должен сказать, что зависимости прописаны небезграмотно. То есть у импорта After=systemd-udev-settle.service After=cryptsetup.target Before=dracut-mount.service у zfs-mount After=zfs-import-cache.service After=zfs-import-scan.service After=systemd-remount-fs.service Before=local-fs.target (т.е. до того, как вообще кто-то потянется за локальными файловыми системами оно таки уже должно быть смонтировано, так что, возможно, нынче даже не обязательно /var и /var/tmp вписывать в fstab) У zfs-share After=nfs-server.service nfs-kernel-server.service After=smb.service After=zfs-mount.service PartOf=nfs-server.service nfs-kernel-server.service PartOf=smb.service Спросите, почему меня смущает идея жить с systemd? Оно не только файловый и бэкап-сервер, оно еще и роутер. Не хватало мне, чтобы оно падало при старте от собственного DNS-запроса... Спросите, на кой при такой паранойе объединять роутер с файловым сервером? Так квартира однокомнатная, а у роутера довольно интеллектуальные задачи, я в свое время изрядно задолбался решать их на коробках. Без нормальной ОС там тяжело. Хотя я подумаю, может, взять какой одноплатничек без вентилятора...
Re: странные kernel ошибки в логе
В Fri, 28 Jul 2017 11:30:33 +0300 "Andrey Jr. Melnikov" пишет: > Sohin Vyacheslav wrote: > > > > 27.07.2017 21:03, artiom пишет: > > > Скиньте бинарь. > > > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z > > Хехе.. > Характерный 'User-Agent: cpuminer/2.3.3' как-бэ намекает, что это. Это просто утилита, ну может чуть переделанная,у оригинала даже исходники открыты https://github.com/pooler/cpuminer Проблема возможно не в этом бинарнике. Тут вроде похоже: https://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
Re: странные kernel ошибки в логе
Sohin Vyacheslav wrote: > 27.07.2017 21:03, artiom пишет: > > Скиньте бинарь. > Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z Хехе.. Характерный 'User-Agent: cpuminer/2.3.3' как-бэ намекает, что это.
Re: странные kernel ошибки в логе
27.07.2017 21:03, artiom пишет: > Скиньте бинарь. нагуглил только 1 ссылку по запросу vnsoxpd: http://forexhelper.co.uk/archive/vnso но это явно не в кассу(( -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
27.07.2017 21:03, artiom пишет: > Скиньте бинарь. Willkommen Sie => das ist nicht problem => http://bit.ly/2w5rR6z -- BW, Сохин Вячеслав
Re: странные kernel ошибки в логе
Sohin Vyacheslav -> debian-russian@lists.debian.org @ Thu, 27 Jul 2017 14:08:11 +0300: >> В репах сходу нашлись chkrootkit, rkhunter и unhide. >> Наверное, там же ещё пяток найдётся за 5 минут... > когда-то я юзал chkrootkit и rkhunter - помню было прилично ложных > срабатываний, поищу что-нибудь посовременнее, спс. Сейчас, похоже, лучше все-таки применить. Среди ложных будет по крайней мере одно истинное.