| 0
- 12.08.2015 - 17:47
|
На домашнем компе под виндой стоит виртуалбокс с убунтой, на которой крутится вэб-сервер, и, пожалуй все. Сегодня заметил, что комп подозрительно горячий. Виртуалбокс отжирает 30% процессора. В Убунте появился неведомый процесс: PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 2744 root 20 0 42556 1036 180 S 99.3 0.1 17:43.90 ulxisqjizy Имя всегда разное, рандомное. ppid 1. Что это и как бороться?     | | |
| 1
- 12.08.2015 - 17:54
| Веб-сервер под винду не вариант было поднять ? | | |
| 2
- 12.08.2015 - 17:58
| 1-Смайл > не, это извращение. Плюс я там всякие штуки отлаживаю. | | |
| 3
- 12.08.2015 - 18:09
|
круто) неведомый процесс под рутом) к серверу из инета есть доступ? | | |
| 4
- 12.08.2015 - 20:35
| 3-droidman > есть ssh. естесьно запаролен хорошо и на другом порту | | |
| 5
- 12.08.2015 - 21:36
|
Похоже на вирусню. Сам файл найди и попробуй посмотреть в него может скрипт. Так же обычно всякая хрень пишется в крон во все места, а то ты удалишь файлик, а оно опять появляется. И прогнать на руткиты rkhunter | | |
| 6
- 12.08.2015 - 23:07
|
Сталкивался, залили через дырку в скриптах набор скриптов, комп стал частью ботнета, ддосит кого то по приказу хозяина. Убрать: снять атрибут x c файла с рандомным названием в /etc/init.d, перезагрузится и удалить этот файл. | | |
| 7
- 12.08.2015 - 23:20
|
яб даже не лечил) ибо если руткит да под рутом - то он уже везде, вплоть до ссх, консоли и модулей ядра) ставить с нуля и долго думать как урезать PHP и вебсерверу права и возможности =) | | |
| 8
- 13.08.2015 - 02:36
|
rkhunter сказал вот что: [02:09:27] System checks summary [02:09:27] ===================== [02:09:27] [02:09:27] File properties checks... [02:09:27] Files checked: 134 [02:09:27] Suspect files: 1 [02:09:27] [02:09:27] Rootkit checks... [02:09:27] Rootkits checked : 307 [02:09:27] Possible rootkits: 1 [02:09:27] Rootkit names : Trojaned SSH daemon [02:09:27] [02:09:27] Applications checks... [02:09:27] Applications checked: 4 [02:09:27] Suspect applications: 0 [02:09:27] [02:09:27] The system checks took: 4 minutes and 34 seconds Так-то. Решено сохранить все ценное и настроить заново с повышенными требованиями к секурности. | | |
| 9
- 14.08.2015 - 14:00
| 7-droidman >та ну.. Это тупой скрипт, никуда он там не лезет далеко. Заливается только по ссш, автор парольгде то сохранил под виндой небось, или отбрутили | | |
| 10
- 15.08.2015 - 07:46
| Вирусы под линуксом? Нам же всегда твердили, что это невозможно! Автор нас троллит : ) | | |
| 11
- 15.08.2015 - 10:01
| 10-Обормот >к вашему сожалению, это не вирус. Это скрипт, налаг bat / cmd в вин. Не располагает способностью размножаться, текущие успехи вызваны низким качеством знаний пользователей (в случае с виндой это поголовно). | | |
| 12
- 15.08.2015 - 10:01
| Налаг = аналог | | |
| 13
- 15.08.2015 - 12:16
|
11-Фанат NASCAR > вас не смущает запись Цитата:
А учитывая процессы под рутом с непонятными именами - вирус проник основательно. | | |
| 14
- 19.08.2015 - 00:55
| 13-droidman >может быть, не обратил внимания. Никтоже не мешает из репов переустановить. | | |
| 15
- 19.08.2015 - 00:57
| В моём случае это был тупой скрипт, как я описывал. А непонятные процессы - его текущее имя в init.d, он сам себя восстанавливал, висел в двух экземплярах, контролировали друг друга - круговая порука. | | |
| Модератор 16
- 23.08.2015 - 15:08
| а откуда он взялся если все происходит: "На домашнем компе под виндой стоит виртуалбокс с убунтой" | |
Интернет-форум Краснодарского края и Краснодара |
