is3 (is3) wrote,
is3
is3

Categories:

linuxspyware

Почти год назад, 18хаоса3180, впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы:
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.

upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42
http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy
То есть, скорее всего, троян этот made in China.

впервые запись была опубликована здесь
Subscribe

  • Post a new comment

    Error

    default userpic
    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments