is3 (is3) wrote,
is3
is3

Categories:

linuxspyware

Почти год назад, 18хаоса3180, впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы:
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.

upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42
http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy
То есть, скорее всего, троян этот made in China.

впервые запись была опубликована здесь
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments