Co se skrývá za neznámou adresou?

Re:Co se skrývá za neznámou adresou?
« Odpověď #15 kdy: 26. 01. 2015, 14:46:24 »
crontab -l
*/10 * * * * sh -c "/home/tupohlav/.config/kdeinit4 &"
A tenhle záznam do crontabu jsi zadával, nebo ne? Rozhodně není normální, aby se cronem každých 10 minut pouštělo nějaké kdeinit4, ještě k tomu z .config. Spíš to vypadá na nějaký malware.

Ještě než to smažeš, někam to zálohuj, třeba to bude zajímavé prozkoumat.


Re:Co se skrývá za neznámou adresou?
« Odpověď #16 kdy: 26. 01. 2015, 15:01:55 »
s jistotou vím, že jsem nic do crontabu nezadával

Dzavy

Re:Co se skrývá za neznámou adresou?
« Odpověď #17 kdy: 26. 01. 2015, 15:05:05 »
Tyvoe tohle je diagnostika na dlouhy lokte...mame Ti napsat, at se do toho /home/tupohlav/.config/kdeinit4 podivas a pripadne sem pastnes obsah nebo na to prijdes sam?

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #18 kdy: 26. 01. 2015, 15:12:04 »
a kde ten soubor najde ? a jak se do nej podivat ? a co je to pastnout ? podle me jsi dal malo a jeste nepresne informace :D

Re:Co se skrývá za neznámou adresou?
« Odpověď #19 kdy: 26. 01. 2015, 15:21:52 »
soubor kdeinit4 mam, ale nevim jestli by to slo sem dat, ma velikost 36 KiB, navic je to spustitelny binarni soubor

asi tak


nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #20 kdy: 26. 01. 2015, 15:36:05 »
kontrolni otazka... porad to mas v crontab ?

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Co se skrývá za neznámou adresou?
« Odpověď #21 kdy: 26. 01. 2015, 15:39:47 »
soubor kdeinit4 mam, ale nevim jestli by to slo sem dat, ma velikost 36 KiB, navic je to spustitelny binarni soubor

asi tak

Kristova noho, zazipuj to s heslem, hod na uptobox nebo nekam, dej sem heslo a odkaz.

Jenda

Re:Co se skrývá za neznámou adresou?
« Odpověď #22 kdy: 26. 01. 2015, 15:41:25 »
To vypadá na backdoor. Možná by mohlo být zajímavé se na to kouknout - zejména pokud ti to tam třeba dal někdo cizí.

Nahraj to třeba na nějaké Uložto, jestli nemáš kam jinam to dát, nebo mi to pošli mailem na jenda z hrach.eu a já to vystavím a koukneme na to.

Jenda

Re:Co se skrývá za neznámou adresou?
« Odpověď #23 kdy: 26. 01. 2015, 15:50:37 »
A můžeš přihodit i /home/tupohlav/.config/tempfile-x11sessioncache, takový soubor by také neměl být spouštěný - nejspíš si to stáhlo payload.

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #24 kdy: 26. 01. 2015, 15:58:15 »
pro zacatek si to vyhod z crontab a killni ;)
crontab -r
kill -9 3171

Jenda

Re:Co se skrývá za neznámou adresou?
« Odpověď #25 kdy: 26. 01. 2015, 16:01:21 »
Přišlo, díky.

Je to zabalené UPXkem, zkusím rozbalit.

d0594e62ff898e36ea6fb6079d8eedd0143ea06f  kdeinit4

http://jenda.hrach.eu/f/kdeinit4-backdoor

Jenda

Re:Co se skrývá za neznámou adresou?
« Odpověď #26 kdy: 26. 01. 2015, 16:08:03 »
virustotal: https://www.virustotal.com/cs/file/baa32583e4e041de14effbb93ad39971c358cb7ae570f2c285e16db49bc2cf4f/analysis/1422284635/

Po rozbalení to podle strings obsahuje nějaké torové adresy (kpvzqvzyooocvs7u.onion, luyvu4fv3d7q4ih6.onion).

Spíš by bylo zajímavé zjistit kde jsi to chytil :)

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #27 kdy: 26. 01. 2015, 16:12:17 »
mozna s nejakou paverzi bitcoin clienta ? backdoor-linux-bew-a-et-client-bitcoin

Re:Co se skrývá za neznámou adresou?
« Odpověď #28 kdy: 26. 01. 2015, 16:14:54 »
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system

Nevim kde jsem to chytil, ani nevim kdy. Vsiml jsem si toho az dnes pri sledovani komunikace v iptraf.
Naposledy jsem instlaloval doplnky do firefoxu na ukladani videa z you tube.

Rad bych zjistil kde jsem se zavsivil.

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #29 kdy: 26. 01. 2015, 16:20:07 »
i kdyz se mohl maskovat, zkus se podivat na datum/cas souboru a srovnat to s tim firefox doplnkem, zrovna ff doplnek na tahani yt videa je idealnim adeptem na backdoor :) nebo dohledat podle data/casu dalsi soubory...

btw: na to ze byl detekovan uz nekdy 2013/06 je s podivem ze na dotaz crontab ".config/kdeinit4" je jen 1 vysledek