Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: John Qweerty 26. 01. 2015, 12:14:36
-
Ahoj,
systém mi komunikuje s adresou 104.129.176.14:443. Chtěl bych zjistit kdo, nebo co, jaká služba s touto adresou komunikuje z mého počítače.
Mám distribuci Ubuntu 10.04.4 LTS.
Při spuštění iptrafu se mi ukáže komunikace s touto adresou.
Lze zjistit co mi z počítače komunikuje, jaká služba, aplikace? A jak to mám zjistit.
Kdyz spustim nmap s dotazem na tuto adresu, tak zjistím otevřený port 22 - OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0), port 443 - https?, port 9999 - abyss
-
Ahoj,
systém mi komunikuje s adresou 104.129.176.14:443. Chtěl bych zjistit kdo, nebo co, jaká služba s touto adresou komunikuje z mého počítače.
Mám distribuci Ubuntu 10.04.4 LTS.
Při spuštění iptrafu se mi ukáže komunikace s touto adresou.
Lze zjistit co mi z počítače komunikuje, jaká služba, aplikace? A jak to mám zjistit.
Kdyz spustim nmap s dotazem na tuto adresu, tak zjistím otevřený port 22 - OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0), port 443 - https?, port 9999 - abyss
Přes web:
http://whois.domaintools.com/104.129.176.14 (http://whois.domaintools.com/104.129.176.14)
http://linux.die.net/man/1/whois (http://linux.die.net/man/1/whois)
-
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14
-
Netstat by mel vypsat, ktery proces s tou adresou komunikuje. Nedivil bych se, kdyby to bylo nejake svinstvo v browseru.
-
Z netstat jsem zjistil, že mi to komunikuje s portem 51746.
Z lsof jsem zjistil:
exe 5364 1000 3u IPv4 338516 0t0 UDP *:59594
exe 5364 1000 4u IPv4 318310 0t0 TCP 192.168.1.4:51746->104.129.176.14:443 (ESTABLISHED)
služba, program exe
není závislá na prohlížeči, alespoň si to myslím (exe se spouští dříve jak prohlížeč)
Jak zjistím, kde exe je?
-
No, nemohl by to být Adobe Flash přehrávač?
jimnak i to lsof vypisuje, co je to zač, bude na začátku, sloupec FD=txt třeba.
-
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14
:o >:( ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
-
Z netstat jsem zjistil, že mi to komunikuje s portem 51746.
Z lsof jsem zjistil:
exe 5364 1000 3u IPv4 338516 0t0 UDP *:59594
exe 5364 1000 4u IPv4 318310 0t0 TCP 192.168.1.4:51746->104.129.176.14:443 (ESTABLISHED)
služba, program exe
není závislá na prohlížeči, alespoň si to myslím (exe se spouští dříve jak prohlížeč)
Jak zjistím, kde exe je?
/proc/PID/exe. PID je v tomto případě 5364.
Je to nějaká podivná služba. Maskuje se jako HTTPS, ale není šifrovaná (na TLS hlavičku zavře spojení). Tipuju to na nějaký farm controller.
-
Jak zjistím, kde exe je?
ps aux rika co?
-
používám KDE
Alt+F2 -> výpis uživatelských procesů
název procesu exe -> PID
ps aux
3171 0.0 0.0 288 156 ? S 13:40 0:00 kdeinit4
v čase 13:40 byl spusten i CRON
crontab -l
*/10 * * * * sh -c "/home/tupohlav/.config/kdeinit4 &"
(teď se mi zdá, že to má souvislost s firefoxem, který používám )
-
když nebudu skrývat lokálního usera, tak
lsof mi říká toto
exe 3171 tupohlav cwd DIR 8,7 4096 3457044 /home/tupohlav/.config
exe 3171 tupohlav rtd DIR 8,5 4096 2 /
exe 3171 tupohlav txt REG 8,7 36864 3605905 /home/tupohlav/.config/kdeinit4
exe 3171 tupohlav mem REG 8,7 4096 3460852 /home/tupohlav/.config/tempfile-x11sessioncache
exe 3171 tupohlav 0u REG 8,7 4096 3460852 /home/tupohlav/.config/tempfile-x11sessioncache
exe 3171 tupohlav 1w FIFO 0,8 0t0 73285 pipe
exe 3171 tupohlav 2w FIFO 0,8 0t0 73285 pipe
exe 3171 tupohlav 3u IPv4 75119 0t0 UDP *:45337
exe 3171 tupohlav 4u IPv4 74532 0t0 TCP 192.168.1.4:50925->104.129.176.14:https (ESTABLISHED)
exe 3171 tupohlav 5r CHR 1,9 0t0 5347 /dev/urandom
-
Tak znovu:
netstat -naptu ..... v pravo mate PID/jmeno programu
ps aux|grep prislusny_PID
Co je vysledkem?
-
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14
:o >:( ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
hele tohle mi vyjelo jako prvni v google na dotaz "geoip" a zajimavy na tom je to, ze to vysledky neukazuje pro tuhle IP, ale jinak u vsech ostatnich ano.
-
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14
:o >:( ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
hele tohle mi vyjelo jako prvni v google na dotaz "geoip" a zajimavy na tom je to, ze to vysledky neukazuje pro tuhle IP, ale jinak u vsech ostatnich ano.
(https://img1.etsystatic.com/047/0/6220313/il_340x270.669711621_hl28.jpg)
;D
-
to bude tim ze jde o ip nevada-area51 a jdou po nem bud proto ze je mimozemstan, mimozemstana ukrejva, nebo proto ze ma nebezpecne username ktere nabada k uprave strel, kazdopadne je nebezpecnej i kdyz mozna je to jen spici agent, ucet tu ma 5let a jen 6 prispevku z toho vetsina v tomto vlakne... taky muze jit jen o viral pro novej dil filmu Johny English tomu by odpovidalo zakodovane root username...
-
crontab -l
*/10 * * * * sh -c "/home/tupohlav/.config/kdeinit4 &"
A tenhle záznam do crontabu jsi zadával, nebo ne? Rozhodně není normální, aby se cronem každých 10 minut pouštělo nějaké kdeinit4, ještě k tomu z .config. Spíš to vypadá na nějaký malware.
Ještě než to smažeš, někam to zálohuj, třeba to bude zajímavé prozkoumat.
-
s jistotou vím, že jsem nic do crontabu nezadával
-
Tyvoe tohle je diagnostika na dlouhy lokte...mame Ti napsat, at se do toho /home/tupohlav/.config/kdeinit4 podivas a pripadne sem pastnes obsah nebo na to prijdes sam?
-
a kde ten soubor najde ? a jak se do nej podivat ? a co je to pastnout ? podle me jsi dal malo a jeste nepresne informace :D
-
soubor kdeinit4 mam, ale nevim jestli by to slo sem dat, ma velikost 36 KiB, navic je to spustitelny binarni soubor
asi tak
-
kontrolni otazka... porad to mas v crontab ?
-
soubor kdeinit4 mam, ale nevim jestli by to slo sem dat, ma velikost 36 KiB, navic je to spustitelny binarni soubor
asi tak
Kristova noho, zazipuj to s heslem, hod na uptobox nebo nekam, dej sem heslo a odkaz.
-
To vypadá na backdoor. Možná by mohlo být zajímavé se na to kouknout - zejména pokud ti to tam třeba dal někdo cizí.
Nahraj to třeba na nějaké Uložto, jestli nemáš kam jinam to dát, nebo mi to pošli mailem na jenda z hrach.eu a já to vystavím a koukneme na to.
-
A můžeš přihodit i /home/tupohlav/.config/tempfile-x11sessioncache, takový soubor by také neměl být spouštěný - nejspíš si to stáhlo payload.
-
pro zacatek si to vyhod z crontab a killni ;)
crontab -r
kill -9 3171
-
Přišlo, díky.
Je to zabalené UPXkem, zkusím rozbalit.
d0594e62ff898e36ea6fb6079d8eedd0143ea06f kdeinit4
http://jenda.hrach.eu/f/kdeinit4-backdoor
-
virustotal: https://www.virustotal.com/cs/file/baa32583e4e041de14effbb93ad39971c358cb7ae570f2c285e16db49bc2cf4f/analysis/1422284635/
Po rozbalení to podle strings obsahuje nějaké torové adresy (kpvzqvzyooocvs7u.onion, luyvu4fv3d7q4ih6.onion).
Spíš by bylo zajímavé zjistit kde jsi to chytil :)
-
mozna s nejakou paverzi bitcoin clienta ? backdoor-linux-bew-a-et-client-bitcoin (https://translate.google.com/translate?hl=cs&sl=fr&tl=en&u=http://www.malekal.com/2014/03/backdoor-linux-bew-a-et-client-bitcoin)
-
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system
Nevim kde jsem to chytil, ani nevim kdy. Vsiml jsem si toho az dnes pri sledovani komunikace v iptraf.
Naposledy jsem instlaloval doplnky do firefoxu na ukladani videa z you tube.
Rad bych zjistil kde jsem se zavsivil.
-
i kdyz se mohl maskovat, zkus se podivat na datum/cas souboru a srovnat to s tim firefox doplnkem, zrovna ff doplnek na tahani yt videa je idealnim adeptem na backdoor :) nebo dohledat podle data/casu dalsi soubory...
btw: na to ze byl detekovan uz nekdy 2013/06 je s podivem ze na dotaz crontab ".config/kdeinit4" (https://www.google.cz/search?q=crontab+%22.config%2Fkdeinit4%22) je jen 1 vysledek
-
ty doplňky mě napadly už když jsem zakládal téma diskuse a již jsou zakázané a odinstalované
-
i kdyz se mohl maskovat, zkus se podivat na datum/cas souboru a srovnat to s tim firefox doplnkem
V tom taru co mi poslal má ten soubor 2015-01-26 15:02, takže se to možná samo aktualizuje a tím si čas přepíše.
-
ne ten cas/datum souboru je moji zasluhou, vse jsem si kopiroval, zalohoval do jednoho adesare. Takze za to muze prikaz cp
-
tak priste zachovej cas/atributy ;)
cp -a odkud kam
kdyz koukam dovnitr, tak zkoukni:
/etc/services
/etc/resolv.conf
/etc/passwd
a jedna z tech tor address smeruje na hiden wiki kde je mozne koupit usa pas/ridicak, uk pas, drogy, zbrane..., takze bacha na cervene svetelka na obleceni ;)
-
Já bych asi kontaktoval UltraVPS.com, určitě by je zajímalo, co za smetí jim to běží na VPSkáćh. Podle IP to vypadá na server v jejich datacentru v Las Vegas
# geoiplookup 104.129.176.14
GeoIP Country Edition: US, United States
GeoIP ASNum Edition: AS53340 VegasNAP, LLC
# dig -x 104.129.176.14
; <<>> DiG 9.9.6-P1-RedHat-9.9.6-6.P1.fc21 <<>> -x 104.129.176.14
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55492
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;14.176.129.104.in-addr.arpa. IN PTR
;; AUTHORITY SECTION:
176.129.104.in-addr.arpa. 8544 IN SOA ns1.ultravps.com. admin.ultravps.com. 2014110858 28800 7200 604800 86400
;; Query time: 11 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Po led 26 16:43:09 CET 2015
;; MSG SIZE rcvd: 114
-
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system
Asi bych pod rootem vymazal z domovskeho adresare vse, co lze ozelit, tedy vse, krome osobnich dat, zalozek FF a tak.
-
Hledám podle data a času a stejné datum mají další soubory, zajímavý je
.tar
, měl atribut pro spustění * a byl skrytý ., umístění měl v /home/tupohlav/, atribut pro spuštění jsem odstranil. Posílám na hrach
Kde jsem to chytil, ach jo.
-
pro zajímavost, jaký je sha256sum toho původníko binárního souboru?
-
sha26sum /home/tupohlav/.config/kdeinit4
baa32583e4e041de14effbb93ad39971c358cb7ae570f2c285e16db49bc2cf4f
výpis souborů vytvořených ve stejný čas
(http://files.uloziste.com/670711ef30237e2d/kdeinit4.jpeg)
-
.. tak to jste chytil kdeinit4-backdoor aka Trojan.Linux.Bew
-
Jak se to tam mohlo dostat? Pres doplnek v prohlizeci?
Nebo jste mel smulu a navstivil stranku, kde bezel nejaky dobry exploit pack. Proti tomu se da poradne branit jen necim jako NoScript co zakazuje javascript, flash, javu takze vam web skoro nepujde :D
-
.. tak to jste chytil kdeinit4-backdoor aka Trojan.Linux.Bew
a to vis ze si nasel scan kterej nechal delat Jenda (http://forum.root.cz/index.php?topic=10546.msg119195#msg119195) a takto ten soubor sam prejmenoval ? ;)
-
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system
Asi bych pod rootem vymazal z domovskeho adresare vse, co lze ozelit, tedy vse, krome osobnich dat, zalozek FF a tak.
hmm... cely system asi neni potreba, ale ja bych asi pro jistotu smazal komplet home adresar toho uzivatele, pripadne se rucne probral obsahem a posoudil, co je a co neni legitimni.
Hesla urcite zmenit (na stroji i online, pote, co se ho zbavite), kdo vi, jestli to nema v sobe keylogger.
Randolf
-
pokud bude menit hesla s tim ze mohl byt keyloger, je nutno predpokladat ze by system mohl byt napaden...
-
A ještě ten .tar
853287b5380c414a938bd53ddd9923a5c5b12fa18809b3e8c927530391bf043e .tar
http://jenda.hrach.eu/f/kdeinit4-backdoor-tar
-
.tar vypada ze je busybox s httpd - takze mohlo slouzit jako webserver (pokud byla verejna ip), ssh server(dropbear?) v tom snad neni takze protunelovane bez verejne ip snad nehrozilo...