Вчера утром поставил Runtu, о чём уже успел похвастаться.
Сегодня, бороздя по просторам интернета и просматривая в правом нижнем углу фильм, заметил, что апплет монитора процессора выдаёт необычно высокий результат: обычно при такой нагрузке показывается около 20%, сейчас — все 100%…
Не должно быть так, подумалось мне — я полез в консоль и набрал top. На самой верхушке сидел процесс pscan2 и отъедал добрых 73%, а рядом красовалась куча демонов sshd.
Решительным killall все левые процессы были снесены.
Немного поискав в сети, узнал, что это червь, что пролезает он через незакрытый ssh, когда у root’а слишком простой пароль (в моём случае, пользователь root вообще «не включён» — как следствие, грешу на HsH с его сборкой и конфигом /etc/ssh/sshd_config).
Моё любопытство пошло дальше — набрал last и увидел, что меня «пользуют» аж со вчерашнего дня. Заходы осуществлялись с 2х ip (по несколько раз с каждого) — один Румынский, другой — Китайский.
Итого: убил демона sshd за ненадобностью, думаю, писать ли абузы провайдерам… Весьма вероятно, что это уже ботнет, поэтому смысла от моих писем будет мало 
Да здравствуют ботнеты на Linux! — криворукость, недальнозоркость и ленность всегда оставляют им место…
Июльский зной. В такую погоду особенно чревато употребление не проверенных продуктов. Отсутствие фирменной упаковки – один из факторов риска.
Вчера меня взломали (sshd + pscan2) | use Unix, Luke!
На самой верхушке сидел процесс pscan2 и отъедал добрых 73%, … Да здравствуют ботнеты на Linux! — криворукость, недальнозоркость и ленность всегда …
useunix.ru/vchera-menya-vzlomali-sshd-pscan2 – 56 мин. назад
Google – уже усек. Поздравляю…
Видать, сайт всё же в трасте
Кстати, у нас тоже солнце печёт — первый раз с начала лета пошёл позагорать… Сейчас ноги щиплет
Давно забытые ощущения.
А ещё сегодня день металлурга — день города в нашем моно-городке, занимающимся прокатом труб… Шумно
О! Я еще помню Новотроицк и День Металлурга… Согласен – децибел предостаточно.
У меня тоже – полный город металлургов, коксохимиков, трубопрокатчиков…
pscan2 – это просто сканер, сам проникнуть
в систему он не может. Кто-то его скопировал, скомпилировал, запустил.
http://lists.altlinux.org/pipermail/community/2008-August/639192.html
Само собой не сам, а с какой-то софтиной. Думаю, у них тандем: сканер сканирует сеть на наличие открытых ssh, отвечает той программке, та коннектится на компьютер с открытым ssh, копирует себя и запускается…
Наверняка ещё и какие-нибудь плохие дела на машине творит… Но я это расследовать уже не буду (по крайней мере не сейчас – ибо лень), просто вернусь на свой Debian… Как только напишу хотя бы одну статью про Runtu.