Помогите вылечить вирус.

[Shabr192]

Не пробовали бинарник послать на https://www.virustotal.com и на http://www.clamav.net/report/report-malware.html ? Если решите посылать, дайте ссылку на результат, пожалуйста.

Нет не пробовал но я обязательно это сделаю. Ссылочку тоже организую.

Действительно это вирус
https://www.virustotal.com/ru/file/1619106a7f368c8997cf3b849802ff0f17615a21e602e184bd4c944241637b40/analysis/1426445939/

[zaskock]

ММда, не нашли способ как грохнуть?

[БТР]

подпишусь.

[kosteek]

Мда. http://rsi76.livejournal.com/28339.html

[alsoijw]

ММда, не нашли способ как грохнуть?

Много интересного оказывается тут произошло. Так вот: важного бекап, чистая установка. ЗЫ повторно не вляпайся.

[Sly_tom_cat]

Я так понял по ссылке - проникновение через брутфорс атаку на пароль рута по ssh.

Еще один камень в огород тех, кто разлочивает рута (вместо использования sudo), и целый самосвал камней на голову тем, кто РАЗРЕШАЕТ вход на ssh под рутом.

[alsoijw]

Sly_tom_cat, если не под рутом, какова вероятность угадать юзера который есть и который может использовать sudo подбирают пароль?

[Shabr192]

ММда, не нашли способ как грохнуть?

Нет не нашел придется видимо перебивать систему
Пользователь решил продолжить мысль 16 Марта 2015, 18:59:10:

Я так понял по ссылке - проникновение через брутфорс атаку на пароль рута по ssh.

Еще один камень в огород тех, кто разлочивает рута (вместо использования sudo), и целый самосвал камней на голову тем, кто РАЗРЕШАЕТ вход на ssh под рутом.

Да безусловно ты тут прав. Еще один самосвал можно за то что пароль был простенький состоящий всего из шести цифр.
Ну что же поделаешь дело сделано наказание получено. Впредь буду умнее!

[victor00000]

Shabr192,
просто без ssh?

[alsoijw]

Shabr192, ставь пароль минимум 16 символов.

[Haron Prime]

имхо, просто сменить длинну пароля - это баловство
чтобы нормально защитить машину от взлома по ssh, нужно прежде всего изменить порт ssh с 22 на какой-либо иной (в /etc/ssh/sshd_config)
запретить авторизацию от рута (PermitRootLogin no - там же)
запретить доступ по паролю (PasswordAuthentication no  - там же) и настроить авторизацию только по ключам (элементарно делается за пару минут)
и последнее, защитить машину от брутфроса парочкой простых правил iptables
к примеру так

Код: [Выделить]

$ iptables -A INPUT -p tcp -i eth0 --syn --dport 22 -m recent --name SSH --set
$ iptables -A INPUT -p tcp -i eth0 --syn --dport 22 -m recent --name SSH --update --seconds 60 --hitcount 4 -j DROP* eth0 заменить на тот интерфейс, который используется, а вместо 22-го порта прописать тот, который будет прописан в /etc/ssh/sshd_config

а после этого пусть ломятся сколько угодно 
в общем, информации по защите ssh в инете чуть больше, чем дофигища - лишь бы было желание потратить пару минут на поиск и настройку

[koshev]

(Нажмите, чтобы показать/скрыть)

Мда. http://rsi76.livejournal.com/28339.html

Злоумышленник пробрался через рута.

[Dt-13]

Процесс рождается на какой то стадии загрузки. На какой?  новости - вирус в линуксе...
Пользователь решил продолжить мысль 16 Марта 2015, 22:02:00:топы аштопы - постфактум... что логи пишут?

[Haron Prime]

новости - вирус в линуксе...

какая ж это новость? это баян!
вирусы в линухе есть!
но в 99,99999999999999999999999% случаев они скрываются между монитором и спинкой стула 

[Sly_tom_cat]

alsoijw, вот смотри если подбирать пароль рута нужно сделать (по словарю) к примеру 40 000 попыток логина (вероятность подбора 1/40 000), то если не известно имя пользователя и его нужно подбирать по соварю хотя бы из 10 000 слов то вероятность подбора уже 1/(40 000 * 10 000) = 1/400 000 000 или 1/*10^8.

Но это я очень приблизительно и цифры сильно занижены (словарем из 10 000 пользователя подобрать врят-ли можно, в прочем как и пароль словарем в 40 000 тоже трудно подобрать в общем случаее).

Да безусловно ты тут прав. Еще один самосвал можно за то что пароль был простенький состоящий всего из шести цифр.
Ну что же поделаешь дело сделано наказание получено. Впредь буду умнее!

Ну тут главное не слишком долго голову пеплом себе посыпать. А направление верное - сделать выводы на будущее и пофиксить все другие возможные недочеты.

По моему минимальный набор правил для открытого в интерент сервера такие:
1. root залочен.
2. ssh на нестандартном порту и доступ рутом - запрещен.
3. стоит fail2ban.

Без этого сервер в интернете (на белом IP) держать можно только очень не долго (а по возможности вообще вывешивать сервак в сеть только после этих настроек).

(Нажмите, чтобы показать/скрыть)

Тут пробовал (эксперемента только для) VPS поднять. Там хостер давал рутовый доступ по ssh - первым делом создал пользователя с правами на sudo и залочил рута и запретил ему и вход на SSH, а попутно переместил ssh на нестандартный порт - 80. Так вот мне на 80-й порт пришли через 8 часов после подъема сервера. Туда приходили запросы и HTTP (тыркались в уязвимости в JPEG, PDF, bash), а также тыкались и по ssh. Не так что бы часто, но за день примерно с десяток раз стабильно. География по IP - интересная - штаты, китай, германия, и всякие зимбабве-заиры и берега слоновой кости - буркина фасо . Российские IP - довольно редко. Но это ни очем как правило не говорит - чаще всего это прокси... только вот от китайцев скорее всего стучался их большой брат