ьб - Post a comment [entries|archive|friends|userinfo] is3 [ website | My Website ] [ userinfo | ljr userinfo ] [ archive | journal archive ]

Jan. 18th, 2014|04:24 am is3 Вчера впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы: cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль. upd: Файлы берутся вот с этих адресов: http://whois.net/ip-address-lookup/122.224.34.42 http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy То есть, скорее всего, троян этот made in China. Link Read Comments

Reply: From: Anonymous OpenID Identity URL:  Login?  пользователь LiveJournal.com имя пользователя:    помнить 1 день 1 неделю 1 месяц 1 год Вы должны предварительно войти в LiveJournal.com   E-mail для ответов:  Вы сможете оставлять комментарии, даже если не введете e-mail. Но вы не сможете получать уведомления об ответах на ваши комментарии! Внимание: на указанный адрес будет выслано подтверждение. LJ.Rossia.org user Username: Password: Login?  Subject: No HTML allowed in subject Message: Don't auto-format: Notice! This user has turned on the option that logs IP addresses of anonymous posters.