ьб -
January 18th, 2014
04:24 am

[Link]

Previous Entry Add to Memories Tell A Friend Next Entry
Вчера впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы:
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.

upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42
http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy
То есть, скорее всего, троян этот made in China.

(6 comments | Leave a comment)

Comments
 
From:(Anonymous)
Date:January 18th, 2014 - 08:58 am
(Link)
Не пали годноту
From:[info]phantom
Date:January 18th, 2014 - 11:29 am
(Link)
А какой пароль был?
[User Picture]
From:[info]is3
Date:January 18th, 2014 - 01:06 pm
(Link)
987654321

Похоже, что это был временный пароль, который забыли поменять.
From:[info]phantom
Date:January 18th, 2014 - 08:29 pm
(Link)
Да, я так как-то тоже заразился через radmin.
From:[info]divisi0nbyzer0.livejournal.com
Date:April 28th, 2014 - 10:51 pm
(Link)
наборы ассоциированных слов типа "я с детства угол рисовал" - надежные пароли?
[User Picture]
From:[info]is3
Date:April 29th, 2014 - 02:12 pm
(Link)
Да, надёжные.

Надёжность пароля можно проверить здесь: https://howsecureismypassword.net/
My Website Powered by LJ.Rossia.org