Вчера меня взломали (sshd + pscan2)

Обычные червиВчера утром поставил Runtu, о чём уже успел похвастаться.

Сегодня, бороздя по просторам интернета и просматривая в правом нижнем углу фильм, заметил, что апплет монитора процессора выдаёт необычно высокий результат: обычно при такой нагрузке показывается около 20%, сейчас — все 100%…

Не должно быть так, подумалось мне — я полез в консоль и набрал top. На самой верхушке сидел процесс pscan2 и отъедал добрых 73%, а рядом красовалась куча демонов sshd.

Решительным killall все левые процессы были снесены.

Немного поискав в сети, узнал, что это червь, что пролезает он через незакрытый ssh, когда у root’а слишком простой пароль (в моём случае, пользователь root вообще «не включён» — как следствие, грешу на HsH с его сборкой и конфигом /etc/ssh/sshd_config).

Моё любопытство пошло дальше — набрал last и увидел, что меня «пользуют» аж со вчерашнего дня. Заходы осуществлялись с 2х ip (по несколько раз с каждого) — один Румынский, другой — Китайский.

Итого: убил демона sshd за ненадобностью, думаю, писать ли абузы провайдерам… Весьма вероятно, что это уже ботнет, поэтому смысла от моих писем будет мало :(

Да здравствуют ботнеты на Linux! — криворукость, недальнозоркость и ленность всегда оставляют им место…

Мне понравилась эта заметка:
Другое:
  • Изготовление металлических ворот без потери времени и денег это возможно! Просто позвоните нам.
Вчера меня взломали (sshd + pscan2): 5 комментариев
  1. Июльский зной. В такую погоду особенно чревато употребление не проверенных продуктов. Отсутствие фирменной упаковки – один из факторов риска.

  2. Вчера меня взломали (sshd + pscan2) | use Unix, Luke!
    На самой верхушке сидел процесс pscan2 и отъедал добрых 73%, … Да здравствуют ботнеты на Linux! — криворукость, недальнозоркость и ленность всегда …
    useunix.ru/vchera-menya-vzlomali-sshd-pscan2 – 56 мин. назад

    Google – уже усек. Поздравляю…

    • Видать, сайт всё же в трасте :)

      Кстати, у нас тоже солнце печёт — первый раз с начала лета пошёл позагорать… Сейчас ноги щиплет :) Давно забытые ощущения.

      А ещё сегодня день металлурга — день города в нашем моно-городке, занимающимся прокатом труб… Шумно :(

      • О! Я еще помню Новотроицк и День Металлурга… Согласен – децибел предостаточно.
        У меня тоже – полный город металлургов, коксохимиков, трубопрокатчиков…

        pscan2 – это просто сканер, сам проникнуть
        в систему он не может. Кто-то его скопировал, скомпилировал, запустил.
        http://lists.altlinux.org/pipermail/community/2008-August/639192.html

        • Само собой не сам, а с какой-то софтиной. Думаю, у них тандем: сканер сканирует сеть на наличие открытых ssh, отвечает той программке, та коннектится на компьютер с открытым ssh, копирует себя и запускается…

          Наверняка ещё и какие-нибудь плохие дела на машине творит… Но я это расследовать уже не буду (по крайней мере не сейчас – ибо лень), просто вернусь на свой Debian… Как только напишу хотя бы одну статью про Runtu.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Outsourcing it dla firm еще по теме.