- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пришла абуза на наличие на сервере руткита Ebury. Паразитный трафик вижу, часть признаков вижу, но части нет. Что это понять не могу.
Анамнез:
ssh: illegal option -- G
usage: ssh [-1246AaCfgkMNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-e escape_char] [-F configfile]
[-i identity_file] [-L [bind_address:]port:host:hostport]
[-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
[-R [bind_address:]port:host:hostport] [-S ctl_path]
[-w tunnel:tunnel] [user@]hostname [command]
То есть Ebury нет.
------ Сегменты совм. исп. памяти --------
ключ shmid владелец права байты nattch состояние
0x7400cb5f 65536 root 600 4 0
0x00000000 425985 root 644 80 2
0x00000000 458754 root 644 16384 2
0x00000000 491523 root 644 280 2
0x00000af2 524292 root 600 3231112 0
Последний сегмент памяти похож на то, что Ebury есть.
------ Создатель/последняя операция совм. исп. памяти --------
shmid владелец cpid lpid
65536 root 882 882
425985 root 1399 1405
458754 root 1399 1405
491523 root 1399 1405
524292 root 2837 5295
root 5472 0.0 0.0 63300 828 pts/0 S+ 19:51 0:00 grep 5295
# ps aux | grep 2837
root 5474 0.0 0.0 63300 828 pts/0 S+ 19:51 0:00 grep 2837
То есть тот большой сегмент памяти с "правильными" правами ни за кем не закреплён. Ebury нет.
Убивал на сервере сначала серверный sshd процесс, потом текущий клиентский. Паразитный трафик не исчезал.
Что это может быть?
netstat -nlp | grep LISTEN
ls -al /var/tmp
ls -al /dev/shm
ls -al /tmp/ |grep -v sess_*
lsmod в конце концов:)
как смотрите паразитный трафик ? как определяете что он паразитный?
http://i-notes.org/ebury-rootkit-opredelit-chto-mashina-zarazhena/
https://www.cert-bund.de/ebury-faq
/ru/forum/805302
как смотрите паразитный трафик ? как определяете что он паразитный?
100 запросов в секунду на вход и на выход непаразитными быть не могут. И да, поборол переустановкой sshd, но пока так и не понял, с чем столкнулся.