BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: Процесс barbut.bsd ?
СообщениеДобавлено: Пн 22 ноя, 2010 5:41 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 13 сен, 2004 5:34 pm
Сообщения: 12
Откуда: Chernigov
Доброго времени суток. Обнаружил в списке процессов странный процесс barbut.bsd запущенный от имени пользователя от которого работает php-cgi. Так же в домашней директории пользователя и в директории /tmp есть файлы barbut.1 ... barbut.9. Кто то с подобным сталкивался ? В паутине пишут, что это якобы атака через апач. Спасибо за ответы.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 22 ноя, 2010 6:00 pm 
Не в сети
Newsmaker

Зарегистрирован: Пт 01 окт, 2004 7:02 pm
Сообщения: 67
find / -name barbut.bsd
file barbut.bsd
file barbut.1 ... 9


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 23 ноя, 2010 1:22 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 13 сен, 2004 5:34 pm
Сообщения: 12
Откуда: Chernigov
Не находит этот файл.

Код:
[root@vpn1 /]# file /tmp/barbut.     
barbut.1      barbut.2      barbut.3      barbut.bsd.1  barbut.bsd.2  barbut.bsd.3 
[root@vpn1 /]# file /tmp/barbut.*
/tmp/barbut.1:     ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
/tmp/barbut.2:     ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
/tmp/barbut.3:     ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
/tmp/barbut.bsd.1: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), for FreeBSD 6.4, statically linked, FreeBSD-style, stripped
/tmp/barbut.bsd.2: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), for FreeBSD 6.4, statically linked, FreeBSD-style, stripped
/tmp/barbut.bsd.3: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), for FreeBSD 6.4, statically linked, FreeBSD-style, stripped


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 23 ноя, 2010 10:56 am 
Не в сети
Newsmaker

Зарегистрирован: Пт 01 окт, 2004 7:02 pm
Сообщения: 67
интересно-)

мы тоже поймали что-то подобное:
(-rwxr-xr-x 1 root wheel 23241 Nov 12 13:47 /etc/bsd.bk)

попробуйте на виртуалке скормить это в truss или strace и посмотреть что происходит. + tcpdump
у нас он лез на 94.100.25.138 port 4723 и увеличил трафик на 40мб/с.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 23 ноя, 2010 12:52 pm 
Не в сети

Зарегистрирован: Вс 05 июн, 2005 4:19 pm
Сообщения: 3157
Откуда: Мезозой Пангея
думаю был бы флаг noexec на /tmp - такого бы не произошло...

_________________
Ми можемо все - що здатні собі уявити!
uname -a
Linux nonamehost 5.4.0-42-generic #46-Ubuntu SMP Fri Jul 10 00:24:02 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 06 ноя, 2011 6:59 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1043
Откуда: Киев
Есть еще какая-то информация по этому процессу?
Впервые с ним тоже столкнулся. "задосило походу машинку".


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 17 ноя, 2011 7:27 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2010 2:08 pm
Сообщения: 195
Откуда: Киев
У нас в Дата-центре такая же проблема возникла. Таблетку пока не придумали. Единственное решение - noexec на /tmp. Если кому интересно более подробно - описал у себя, буду дополнять информацию (надеюсь будет чем) http://rtfm.co.ua/freebsd-anomalnaya-aktivnost-serverov-v-mir/ (ссылки не запрещено правилами давать?).

А кто на какой версии системы поймал заразу?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 ноя, 2011 11:27 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1043
Откуда: Киев
Я на 6-ке. Обновление до 7.4 Stable не спасло, вылезло снова

sockstat -4 еще выявил из левого:
Цитата:
root dropbear 975 4 tcp4 *:3129 *:*


Если прибиваю - вываливаются почти все программы ... на /dev/null ругается.
Пока закрыл файерволом ...

Откуда запускается - пока еще не выявил. Пока зафайерволил ...

В логах - упоминания не нашел ...
С "последующим" запуском - в конце добавляется "номер" ...


Последний раз редактировалось olexande Пт 18 ноя, 2011 12:20 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 ноя, 2011 11:41 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2010 2:08 pm
Сообщения: 195
Откуда: Киев
olexande писал(а):
Я на 6-ке. Обновление до 7.4 Stable не спасло, вылезло снова


Интересно как на 8-ке...

Цитата:
root dropbear 975 4 tcp4 *:3129 *:*


А вот это не только у тебя:
http://forum.lissyara.su/viewtopic.php? ... 50#p313250

Цитата:
Проверьте файл /etc/rc.local и проверьте - не запущен ли процесс dropbear (ssh сервер). У меня оказывается был запущен, хотя я четко помню, что им не пользовался и не ставил и не запускал.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 ноя, 2011 11:59 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1043
Откуда: Киев
Спасибо, там тоже читал, да видать не совсем внимательно ...

/etc/rc.local:
Цитата:
/usr/include/php/dropbear
/usr/include/php/dropbear


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 ноя, 2011 12:17 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1043
Откуда: Киев
Кстати - на "barbut" clamav реагирует ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 ноя, 2011 3:12 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2010 2:08 pm
Сообщения: 195
Откуда: Киев
Задачка на миллион - как намеренно (!) подцепить эту каку? :-)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика