Завелся интересный зверек
Добрый день комрады. есть машинка centos. Машинка имеет сверху fw. В нем я уже убил все дрянь https://pastebin.com/FWZ7Ji30 отсюда.
Вообщем проблема такая. На машине есть 2 юзера - root и bitrix (по факту это битрикс окружение). До этого стоял докер. Мне показалось, что этот майнер проник в машину через redis (где-то есть упоминание на китайских форумах), удалив докер, прибив заразу - выкурив crontab его - но не тут то было. Оно пролазяет вновь. Причем переодичности нет.
Суть такая - CPU запускается майнер и грузит всю систему. а kinsing демон контролируется и умеет обрабатывать команды центра некого.
То есть убив, тишина.. и тут бам в логах опять видно что какая-то тварь сравнивает md5 файла (см. пастебин) и далее bitbucket или wget тянет демона и запускает этот майнер.
Самое интересное, что я уже и в битбакет подножку подставил - оно 0.0.0.0;
Придушил собаку на fw и туда и сюда.
Так же chattr и права по ее .sh чтобы даже записывать не смогла, так как работает оно не от root.
/var/log/httpd/error_log:1472:curl: (7) Failed connect to 217.12.221.244:80; Connection timed out 0 0 0 0 0 0 0 0 –:–:– 0:02:07 –:–:– 0curl: (7) Failed connect to 217.12.221.244:80; Connection timed out
вот такие логи вижу. то есть где-то сидит зараза и пытается дергать свой бинарник, но обламывается.
Как ее подцепить? fw внешний ловит запросы до 217.12.221.244 с машины. то есть зверек где-то сидит.
Вообщем проблема такая. На машине есть 2 юзера - root и bitrix (по факту это битрикс окружение). До этого стоял докер. Мне показалось, что этот майнер проник в машину через redis (где-то есть упоминание на китайских форумах), удалив докер, прибив заразу - выкурив crontab его - но не тут то было. Оно пролазяет вновь. Причем переодичности нет.
Суть такая - CPU запускается майнер и грузит всю систему. а kinsing демон контролируется и умеет обрабатывать команды центра некого.
То есть убив, тишина.. и тут бам в логах опять видно что какая-то тварь сравнивает md5 файла (см. пастебин) и далее bitbucket или wget тянет демона и запускает этот майнер.
Самое интересное, что я уже и в битбакет подножку подставил - оно 0.0.0.0;
Придушил собаку на fw и туда и сюда.
Так же chattr и права по ее .sh чтобы даже записывать не смогла, так как работает оно не от root.
/var/log/httpd/error_log:1472:curl: (7) Failed connect to 217.12.221.244:80; Connection timed out 0 0 0 0 0 0 0 0 –:–:– 0:02:07 –:–:– 0curl: (7) Failed connect to 217.12.221.244:80; Connection timed out
вот такие логи вижу. то есть где-то сидит зараза и пытается дергать свой бинарник, но обламывается.
Как ее подцепить? fw внешний ловит запросы до 217.12.221.244 с машины. то есть зверек где-то сидит.