Помогите побороть хак со стороны Opyum Team

[Lifewalker]

Вляпался в яму, подложенную Opyum Team: появились файлы /bin/f и /bin/i которые чего-то там делают при загрузке. Здесь нашёл обсуждение проблемы. Рецепт вроде бы прост, нужно всего-то удалить эти файлы и подправить /etc/crontab.

Однако, файлы не поддаются удалению и редактированию! Рутовых прав недостаточно для удаления и редактирования. Более того, они не поддаются даже если загрузить с флешки и попытаться ковырнуть их с незаражённого экземпляра ОС. Здесь нашёл упоминание о некоей утилите chattr, которой нужно снять атрибут «неизменный» с этих файлов, но увы у меня не Ext, а XFS. И вообще с командой этой какая-то странность, сами смотрите

Код: [Выделить]

root@homecomp:/etc# chattr
Программа 'chattr' на данный момент не установлена.  Вы можете установить её, выполнив:
apt-get install e2fsprogs
root@homecomp:/etc# apt-get install e2fsprogs
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Уже установлена самая новая версия e2fsprogs.
обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 1 пакетов не обновлено.

Но сейчас речь не о ней. Что можно и как сделать с файлом хоть бы /etc/crontab, чтобы его отредактировать. Внешне файл ничем ни примечателен, но отредактировать его не удаётся никак. Или я чего не вижу?

Код: [Выделить]

root@homecomp:/etc# stat crontab
  Файл: «crontab»
  Размер: 750        Блоков: 8          Блок В/В: 4096   обычный файл
Устройство: 804h/2052d Inode: 67124366    Ссылки: 1
Доступ: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Доступ: 2012-09-17 08:03:57.276302516 +0800
Модифицирован: 2012-09-10 21:06:27.244117639 +0800
Изменён: 2012-09-10 21:06:27.304117938 +0800
 Создан: -

Чёта полная переустановка вообще не улыбается...

[ArcFi]

Код: [Выделить]

man lsattr getfaclКак вляпались, если не секрет?

[Lifewalker]

Код: [Выделить]

root@homecomp:~# lsattr /etc/crontab
----i---------- /etc/crontab
root@homecomp:~# getfacl /etc/crontab
getfacl: Удаление начальных '/' из абсолютных путей
# file: etc/crontab
# owner: root
# group: root
user::rw-
group::r--
other::r--
Вижу аттрибут i, очевидно это то, что нужно. Осталось найти (желательно быстро) как его сломать на XFS. Пошёл искать. А если кто знает, пожалуйста, подскажите сразу

Как вляпались, если не секрет?

Да как всегда, через собственное раздолбайство! Посредством tasksel установил «Virtual Machine host», оно тянет за собой сервер SSH. На Федоре я его глушил, а тут не досмотрел. Дальше и так понятно, слабый админский пароль и так далее Конечно, возможно влезли через Apache или MySQL (если это вообще возможно в дефолтном варианте, я-то их использую только локально) но скорее всего через SSH.

[ArcFi]

Вижу аттрибут i, очевидно это то, что нужно. Осталось найти (желательно быстро) как его сломать

Код: [Выделить]

man chattr

[Lifewalker]

Запускаю.

Код: [Выделить]

root@homecomp:~# chattr
Программа 'chattr' на данный момент не установлена.  Вы можете установить её, выполнив:
apt-get install e2fsprogs
Пытаюсь установить

Код: [Выделить]

root@homecomp:~# apt-get install e2fsprogs
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Уже установлена самая новая версия e2fsprogs.
обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 1 пакетов не обновлено.
Блин или лыжи не едут или я с головой не дружу Пытаюсь искать, в результате только

Код: [Выделить]

root@homecomp:~# whereis chattr
chattr: /usr/share/man/man1/chattr.1.gz
Единственное, что я думаю, это вирус в порядке самозащиты стёр chattr. Щас попытаюсь нарыть его в другом месте.

[ArcFi]

Единственное, что я думаю, это вирус в порядке самозащиты стёр chattr. Щас попытаюсь нарыть его в другом месте.

livecd/usb/pxe

[Lifewalker]

Ну а где же ещё? Ушёл в перезагрузку. Если не вернусь, ну тыды понятно... 

[ArcFi]

Lifewalker, в такие моменты осознаёшь пользу от включённого по дефолту фаервола. =)

[Karl500]

Я понимаю, что пост фактум любой совет выглядит несколько некорректно, однако я бы крайне советовал (в любом случае, несмотря на самый сложный пароль или перенос порта с 22 на другой) ставить защиту от брутфорса по ssh - fail2ban (тем более, что это совсем несложно).

[Lifewalker]

Короче, загрузился с живчика Федоры, снял атрибуты с /etc/crontab и /bin/f, отредактировал нужное, снёс ненужное, загрузился, проверил. Уф, на этот раз отбился

я бы крайне советовал (в любом случае, несмотря на самый сложный пароль или перенос порта с 22 на другой) ставить защиту от брутфорса по ssh - fail2ban

Обычно сношу SSH воообще, ибо на локальном компьютере его полезность мягко говоря сомнительна. А тут рот разявил и … вляпался.

[rumit]

Я понимаю, что пост фактум любой совет выглядит несколько некорректно, однако я бы крайне советовал (в любом случае, несмотря на самый сложный пароль или перенос порта с 22 на другой) ставить защиту от брутфорса по ssh - fail2ban (тем более, что это совсем несложно).

а можно подробно что и как делать.

[Karl500]

Можно, но, наверное, не в этой теме.

[лесной_зонтик]

 Прошу прощения, а что это за Opyum Team такой?

[Lifewalker]

Прошу прощения, а что это за Opyum Team такой?

Понятия не имею. При загрузке компьютера заметил некий процесс «f», который минуту или две после старта системы сильно нагружает процессор. Решил посмотреть список процессов, нашёл там нечто, с командной строкой «/bin/f Opyum Team», запущенное от рута. Потыкался в гугл, нашёл ссылки. Дальнейшую историю вы знаете.

[ArcFi]

лесной_зонтик, малварь-ботнет.