Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Добро пожаловать в ботнет ?  (Прочитано 3204 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Satyr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Добро пожаловать в ботнет ?
« : 12 Января 2008, 12:50:53 »
ubuntu 7.10.
Просканил сегодня самого себя nmap'ом, и обнаружил интересные вещи (весь список приводить не буду):
12345/tcp open  NetBus
12346/tcp open  NetBus
27665/tcp open  Trinoo_Master
31337/tcp open  Elite
54320/tcp open  bo2k
понятно что сам я это не ставил, и более того, вчера тот же сканер показывал только один открытый порт - 80. (это обнаружилось после того, как я скачал 140мб патчей)

Нарисовал такой скрипт:
#!/bin/sh
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 12345 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 12345 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 12346 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 12346 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 31337 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 31337 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 27665 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 27665 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 54320 -j DROP
iptables -A INPUT -p udp -i eth0 -m udp --dport 54320 -j DROP
но сканер по-прежнему выдает то же самое. как избавиться от этой гадости?

Оффлайн wayerr

  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Добро пожаловать в ботнет ?
« Ответ #1 : 12 Января 2008, 16:11:44 »
bo2k - это хороший такой руткит, но я не слышал чтобы он под линухомработал (http://bo2k.sourceforge.net/whatis.html).
Но если это действительно руткиты, а не глюк то вычистить их буде очень сложно.

Оффлайн igorsub

  • Новичок
  • *
  • Сообщений: 48
    • Просмотр профиля
Re: Добро пожаловать в ботнет ?
« Ответ #2 : 12 Января 2008, 18:26:35 »
(это обнаружилось после того, как я скачал 140мб патчей)

Откуда патчи-то ставил?

Thread

  • Гость
Re: Добро пожаловать в ботнет ?
« Ответ #3 : 12 Января 2008, 18:50:19 »
Ещё раз убеждаемся в том, что доверять следует только официальным зеркалам :)

А вообще, это действительно интересно. Чото раньше не видел всяких троянов и руткитов под линух вживую.

shame

  • Гость
Re: Добро пожаловать в ботнет ?
« Ответ #4 : 12 Января 2008, 19:09:31 »
проверь систему на руткиты:
sudo rkhunter -c -sk
sudo chkrootkit

(не забудь сначала их установить)

Оффлайн Satyr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: Добро пожаловать в ботнет ?
« Ответ #5 : 13 Января 2008, 00:12:57 »
спасибо всем ответившим, вопрос решен. Дело было в сервисе portsentry, который слушает вышеуказанные порты и поэтому они кажутся затрояненными. Стоило вырубить этот сервис и все пришло в норму. Кстати, я погуглил, и я не единственный, у кого была подобная проблема.
Ещё раз убеждаемся в том, что доверять следует только официальным зеркалам :)
да, я уж начал сомневаться, тот ли репозиторий  я использую :-)

Оффлайн saber

  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Re: Добро пожаловать в ботнет ?
« Ответ #6 : 24 Марта 2008, 18:19:45 »
# rkhunter -c -sk
[ Rootkit Hunter version 1.3.0 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preload file                                [ Not found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
    /bin/dmesg                                               [ OK ]
    /bin/echo                                                [ OK ]
    /bin/ed                                                  [ OK ]
    /bin/egrep                                               [ OK ]
    /bin/fgrep                                               [ OK ]
    /bin/grep                                                [ OK ]
    /bin/ip                                                  [ OK ]
    /bin/kill                                                [ OK ]
    /bin/login                                               [ OK ]
    /bin/ls                                                  [ OK ]
    /bin/lsmod                                               [ OK ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/readlink                                            [ OK ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/su                                                  [ OK ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/which                                               [ OK ]
    /bin/dash                                                [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/GET                                             [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/slocate                                         [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strace                                          [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/lwp-request                                     [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /sbin/depmod                                             [ OK ]
    /sbin/ifconfig                                           [ OK ]
    /sbin/ifdown                                             [ OK ]
    /sbin/ifup                                               [ OK ]
    /sbin/init                                               [ OK ]
    /sbin/insmod                                             [ OK ]
    /sbin/ip                                                 [ OK ]
    /sbin/lsmod                                              [ OK ]
    /sbin/modinfo                                            [ OK ]
    /sbin/modprobe                                           [ OK ]
    /sbin/rmmod                                              [ OK ]
    /sbin/runlevel                                           [ OK ]
    /sbin/sulogin                                            [ OK ]
    /sbin/sysctl                                             [ OK ]
    /sbin/syslogd                                            [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]

Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    FreeBSD Rootkit                                          [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    ImperalsS-FBRK Rootkit                                   [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx Rootkit (strings)                                [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    SunOS Rootkit                                            [ Not found ]
    SunOS / NSDAP Rootkit                                    [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    X-Org SunOS Rootkit                                      [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]

  Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]

  Performing trojan specific checks
    Checking for enabled inetd services                      [ OK ]
    Checking for Apache backdoor                             [ Not found ]

  Performing Linux specific checks
    Checking kernel module commands                          [ OK ]
    Checking kernel module names                             [ OK ]

Checking the network...

  Performing check for backdoor ports
    Checking for UDP port 2001                               [ Not found ]
    Checking for TCP port 2006                               [ Not found ]
    Checking for TCP port 2128                               [ Not found ]
    Checking for TCP port 14856                              [ Not found ]
    Checking for TCP port 47107                              [ Not found ]
    Checking for TCP port 60922                              [ Not found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for local startup files                         [ Found ]
    Checking local startup files for malware                 [ None found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ Warning ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ None found ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Found ]
    Checking if SSH root access is allowed                   [ Warning ]
    Checking if SSH protocol v1 is allowed                   [ Not allowed ]
    Checking for running syslog daemon                       [ Found ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ None found ]
    Checking for hidden files and directories                [ Warning ]

Checking application versions...

    Checking version of GnuPG                                [ OK ]
    Checking version of OpenSSL                              [ OK ]
    Checking version of PHP                                  [ OK ]
    Checking version of Procmail MTA                         [ OK ]
    Checking version of ProFTPd                              [ OK ]
    Checking version of OpenSSH                              [ OK ]


System checks summary
=====================

File properties checks...
    Files checked: 123
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 110
    Possible rootkits: 0

Applications checks...
    Applications checked: 6
    Suspect applications: 0

The system checks took: 1 minute and 8 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

root@krasbid:/etc/ssh# chkrootkit -q

The following suspicious files and directories were found:
/usr/lib/firefox/.autoreg
/lib/modules/2.6.22-14-generic/volatile/.mounted

/usr/lib/security
/usr/lib/security/classpath.security
eth0: PACKET SNIFFER(/usr/local/games/.play/echo[18415])
root@krasbid:/etc/ssh#
руткиты?
odmin4eg.ru - Мои шпаргалки по ubuntu

Оффлайн alexxxst

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Добро пожаловать в ботнет ?
« Ответ #7 : 24 Марта 2008, 18:23:21 »
адрес какой сканил, внешний айпи свой? может это все на шлюзе живет, а не на твоей машине...

Оффлайн saber

  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Re: Добро пожаловать в ботнет ?
« Ответ #8 : 24 Марта 2008, 18:52:46 »
на шеле сервака сидел
odmin4eg.ru - Мои шпаргалки по ubuntu

Bren74

  • Гость
Re: Добро пожаловать в ботнет ?
« Ответ #9 : 24 Марта 2008, 21:43:58 »
Цитировать
руткиты?
Хм...неужели дожили?  :o

Thread

  • Гость
Re: Добро пожаловать в ботнет ?
« Ответ #10 : 24 Марта 2008, 22:09:46 »
Насчёт suspicious files and directories found - это он так реагирует на пустые файлы.

Оффлайн saber

  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Re: Добро пожаловать в ботнет ?
« Ответ #11 : 25 Марта 2008, 05:42:59 »
если кому интересно могу выложить те программы что мне внедрили.
odmin4eg.ru - Мои шпаргалки по ubuntu

Оффлайн wertwerter

  • Любитель
  • *
  • Сообщений: 86
    • Просмотр профиля
Re: Добро пожаловать в ботнет ?
« Ответ #12 : 25 Марта 2008, 08:42:33 »
Очень хочется почитать разбор полета. :o

Оффлайн saber

  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Re: Добро пожаловать в ботнет ?
« Ответ #13 : 31 Марта 2008, 17:22:48 »
Сама статья расписана у меня в блоге
http://brandykov.blogspot.com/2008/03/linux.html

ну софт что был внедрён вот.

http://develop.vzletka.net/games.tar.gz

кто раскапает более подробно данный фарез буду только рад :)
odmin4eg.ru - Мои шпаргалки по ubuntu

Оффлайн wertwerter

  • Любитель
  • *
  • Сообщений: 86
    • Просмотр профиля
Re: Добро пожаловать в ботнет ?
« Ответ #14 : 01 Апреля 2008, 13:08:22 »
Спасибо,интересно

 

Страница сгенерирована за 0.04 секунд. Запросов: 23.