Kissé vicces a fordítás de a lényeg kibogarászható talán:
http://translate.google.hu/translate?hl=hu&sl=zh-CN&u=http://bbs.chinau…
kb. az ott leírtakat találtam egy gépen. Meglepően kevés találatot kaptam rá google-n. A gyanús az lett hogy a linken is látható "Iptables [12688]: segfault at 0000000000000000 rip 000000000804e837 rsp 00000000ffeb1fb0 hiba 4 "-hez hasonló bejegyzéseket találtam a logokban továbbá állandóan leállt az smbd és az nmbd. Megnézve nemcsak https://malwr.com/analysis/NmRkNDVkMjJhZTc5NDA5NDhkMzZhOWY5YTgyZjkzZTg/ eltűnt, a binárisok le is törlődtek. Egészen addig amíg chattr-rel le nem tiltottam azt már nem figyelte erre kb. percenként killelte őket. A binárisban nézelődve egy webcím is látható, http://kill.et2046.com/fuckopen.txt
Feltöltve és megnézetve víruskeresővel és malwarekeresővel nem találnak semmi gyanúsat, az egyik ilyen: https://malwr.com/analysis/NmRkNDVkMjJhZTc5NDA5NDhkMzZhOWY5YTgyZjkzZTg/
Látott már valaki ilyet és tudja hogy jön be? A gépen fut egy régen összerakott nem leszedhető php alkalmazás mint elsőszámú gyanusított.
- 9191 megtekintés
Hozzászólások
Ugyanebbe futottam bele. Egy OpenSuse 13.1 szerveremet megtörték, valszeg túl gyenge volt a root jelszó.
Jelenség: a gép MB/s-es kimenő forgalmat bonyolít valami kínai IP felé a swat (901) porton, meg egyéb kínai IP-k felé.
Ebből persze az következett az esetemben, hogy bannolták a publikus IPmet.
A trójai/malware root jogokkal bejut és a /boot-ba a következő binárisokat teszi: .IptabLes, .IptabLex, stb.
Futtatható jogot ad nekik. További fájlok /etc/init.d/IptabLes, stb. gyanús init scriptek indítják a /boot-ból minden indításkor. Crontab-ba, cron.d-be nem pakol.
Megoldás:
1. törölni a /boot, /etc/init.d alól a scripteket és a binárisokat
2. root jelszó változtatás (nyilván erősre)
3. reboot, vagy kill az .IptabLe* processzeket.
- A hozzászóláshoz be kell jelentkezni
Ha a /boot külön partíción van, akkor a /etc/fstab fájlban érdemes hozzá csapni a mount options-hoz: noexec,nosuid,nodev
- A hozzászóláshoz be kell jelentkezni
Kb. ezeket csináltam, nem jött vissza eddig. még néhány jellemző file ami megjelenik ilyenkor a gyökérben:
.mylisthb.pid
.mylisthbS.pid
.mylisthbSx.pid
.mylisthbx.pid
- A hozzászóláshoz be kell jelentkezni
Legközelebb: PermitRootLogin no
- A hozzászóláshoz be kell jelentkezni
Újabb adalék. Valószínű hogy egy gyárilag a telefonra telepített program lopta el a jelszót és azzal mentek be. Esetleg érdemes néhány antivírus programmal megnézni a telefonokat, UUPAY.D néven ismerik és 2 file volt a system/apps konyvtárban, amiket csak rootolás után tudtam leszedni.
Szerk. Androidos telefonról van szó és magyar forgalmazótól nem Kínából, de ott gyártatják.
- A hozzászóláshoz be kell jelentkezni
Nem válasz a kérdésedre, de én nem lepődök meg ezen:
https://www.youtube.com/watch?v=rgdu9aOfD-s
https://www.youtube.com/watch?v=UGL6Huo4ay0
- A hozzászóláshoz be kell jelentkezni