Протроянили машину
Добрый день Уважаемые! Спешу к вам с вопросом: вчера машинка на debian lenny стала странно себя вести - отправляла на определенный ip адрес туеву хучу пакетов и тем самым забивала весь канал этим. Через route add -host xx.xx.xx.xx reject добавил тот хосто в список игнорируемых. На следующиц день это повторилось,но ip адрес был другой. iptraf показывает что идет udp пакет по 43 кб. Netstat говорит что udp 0 0 172.16.0.2:43747 208-65.ip.compton.net:www ESTABLISHED да, еще в процессах какой то процесс странный есть: 5691 ? R 976:31 ./s 208.74.208.65 80 посмотрел в /proc/номер процесса/ там находится странные папки и файлы - ls -la итого 6300 drwxr-xr-x 7 root root 4096 Июл 1 11:58 . drwxr-xr-x 13 mentax mentax4096 Июл 1 18:09 .. drwxr-xr-x 2 root root 4096 Июл 1 11:57 attr -rw--- 1 root root 144 Июл 1 11:57 auxv -rw--- 1 root root 0 Июл 1 11:57 cgroup -rw--- 1 root root21 Июл 1 11:57 cmdline -rw--- 1 root root 9 Июл 1 11:57 coredump_filter -rw--- 1 root root 2 Июл 1 11:57 cpuset lrwxrwxrwx 1 root root15 Июл 1 11:57 cwd - /dev/shm/. /... -rw--- 1 root root 136 Июл 1 11:57 environ lrwxrwxrwx 1 root root17 Июл 1 11:57 exe - /dev/shm/. /.../s drwx-- 2 root root 20480 Июл 1 11:57 fd drwx-- 2 root root 20480 Июл 1 11:57 fdinfo -rw--- 1 root root94 Июл 1 11:57 io -rw--- 1 root root 1323 Июл 1 11:57 limits -rw--- 1 root root10 Июл 1 11:57 loginuid -rw--- 1 root root 782 Июл 1 11:57 maps -rw--- 1 root root 926 Июл 1 11:58 mountinfo -rw--- 1 root root 740 Июл 1 11:58 mounts -rw--- 1 root root 821 Июл 1 11:58 mountstats drwxr-xr-x 5 root root 4096 Июл 1 11:57 net -rw--- 1 root root 2 Июл 1 11:58 oom_adj -rw--- 1 root root 2 Июл 1 11:58 oom_score -rw--- 1 root root 6291456 Июл 1 11:58 pagemap lrwxrwxrwx 1 root root 1 Июл 1 11:57 root - / -rw--- 1 root root 718 Июл 1 11:58 sched -rw--- 1 root root10 Июл 1 11:58 sessionid -rw--- 1 root root 4058 Июл 1 11:58 smaps -rw--- 1 root root 195 Июл 1 11:58 stat -rw--- 1 root root21 Июл 1 11:58 statm -rw--- 1 root root 714 Июл 1 11:58 status drwxr-xr-x 3 root root 4096 Июл 1 11:57 task -rw--- 1 root root 1 Июл 1 11:58 wchan Вот такое вот безобразие... Как бороться с этим
Re: Протроянили машину
On Wed, 1 Jul 2009 08:31:27 -0400 Sergey Kharlamov men...@gmail.com wrote: Добрый день Уважаемые! Спешу к вам с вопросом: вчера машинка на debian lenny стала странно себя вести - отправляла на определенный ip адрес туеву хучу пакетов и тем самым забивала весь канал этим. Через route add -host xx.xx.xx.xx reject добавил тот хосто в список игнорируемых. На следующиц день это повторилось,но ip адрес был другой. iptraf показывает что идет udp пакет по 43 кб. Netstat говорит что udp 0 0 172.16.0.2:43747 208-65.ip.compton.net:www ESTABLISHED да, еще в процессах какой то процесс странный есть: 5691 ? R 976:31 ./s 208.74.208.65 80 Есть ли у тебя всякие пользователи с логином/паролем типа test/test? Боты бывает перебирают таких, логинятся по ssh и делают своё чёрное дело. Выдел пару таких машинок. signature.asc Description: PGP signature
