MF
вот ... пока не пойму кто запускает. Роюсь. Нашел в логах кто курлом берет скрипт sh. В логах крона... У меня сервак учебный так сказать. Базовая защита от Весты стоит. Но ее толком нет... Разбираюсь...
Size: a a a
2021 March 18
MF
проверил хантером. Нашел 2 предупреждения. Понять бы еще что с этим делать потом
MF
D
вот видимо оно и запускается, можно скачать самому и посмотреть - что за скрипт
MF
пробовал. Чет не хочет скачивать
D
а варнинги - ну поменяло пароль, может даже юзера какого-то добавило и его в группы включило
MF
аа, понял. Спасибо!
D
Возможно уже там діру залатали и файл зачистили тоже.
MF
crontab -l сказал что нет крона для рута. Из лога юзер admin похоже запускал скрипт. Я заблочил доступ к этому IP. Теперь бы найти этот крон... В руте крон пустой...
D
А возможно - там доступ к тому файлу есть только для зараженных машин, которых в белый список добавляет.
ИП
Misha Fomin
вот ... пока не пойму кто запускает. Роюсь. Нашел в логах кто курлом берет скрипт sh. В логах крона... У меня сервак учебный так сказать. Базовая защита от Весты стоит. Но ее толком нет... Разбираюсь...
TY
есть у кого свежий Ai-Bolit ?
D
Через lsof -p PID можно посмотреть куда у процесса "тянутся щупальца", или вручную изучать его папку /proc/PID
MF
и пользователя admin я не создавал... вроде. Нет данных о нем...
MF
от сучка. Хоть бы поделился битками ))
MF
А возможно - там доступ к тому файлу есть только для зараженных машин, которых в белый список добавляет.
тож так подумал...
D
Misha Fomin
тож так подумал...
т.е. его тогда можно будет вручную стянуть через wget с зараженного сервера и посмотреть - вдруг получится?
D
Мог там накосячить в скрипте - пароли вписать какие-то.
MF
ща попробую ) ток надо разбанить )) идея
MF
каждую минуту зараза пытается качнуть )