Re: странные kernel ошибки в логе

To: debian-russian@lists.debian.org
Subject: Re: странные kernel ошибки в логе
From: Eugene Berdnikov <bd4@protva.ru>
Date: Thu, 27 Jul 2017 13:16:29 +0300
Message-id: <[🔎] 20170727101629.GY7868@protva.ru>
In-reply-to: <[🔎] 4bbb176e-3286-f735-b904-24abea1a8129@yandex.ua>
References: <[🔎] a0618eab-fdc5-119a-04f0-0ba425c33e2d@yandex.ua> <[🔎] 7f0bdf41-757f-c7ca-06f6-d717ec26ab34@gmail.com> <[🔎] 20170726212549.6brvdch35zvibbmh@protva.ru> <[🔎] e5fcad22-33fd-a4b5-1b9d-ec5d00c0e7b8@yandex.ua> <[🔎] 20170727093542.GU7868@protva.ru> <[🔎] 9dafb097-e8e5-4959-01a9-bade62ef1292@yandex.ua> <[🔎] 20170727095353.GW7868@protva.ru> <[🔎] 4bbb176e-3286-f735-b904-24abea1a8129@yandex.ua>

On Thu, Jul 27, 2017 at 01:00:24PM +0300, Sohin Vyacheslav wrote:
> $ ldd /tmp/vnsoxpd
...
>   libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0
> (0x00007fea7ab7f000)
>   libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0
> (0x00007fea7a73b000)
>   libgssapi_krb5.so.2 => /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2
> (0x00007fea7a4f1000)
>   liblber-2.4.so.2 => /usr/lib/x86_64-linux-gnu/liblber-2.4.so.2
> (0x00007fea7a2e3000)
>   libldap_r-2.4.so.2 => /usr/lib/x86_64-linux-gnu/libldap_r-2.4.so.2
> (0x00007fea7a091000)
>   libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007fea79e77000)
>   libgnutls.so.30 => /usr/lib/x86_64-linux-gnu/libgnutls.so.30
> (0x00007fea79b1b000)
>   libhogweed.so.4 => /usr/lib/x86_64-linux-gnu/libhogweed.so.4
> (0x00007fea798e8000)
>   libnettle.so.6 => /usr/lib/x86_64-linux-gnu/libnettle.so.6
> (0x00007fea796b2000)
>   libgmp.so.10 => /usr/lib/x86_64-linux-gnu/libgmp.so.10
> (0x00007fea79432000)
>   libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fea7922e000)
>   libkrb5.so.3 => /usr/lib/x86_64-linux-gnu/libkrb5.so.3
> (0x00007fea78f5b000)
>   libk5crypto.so.3 => /usr/lib/x86_64-linux-gnu/libk5crypto.so.3
> (0x00007fea78d2a000)
...

 Судя по количеству крипто-библиотек, это может быть майнер.

> в выводе ps родителя не обнаружено:
> $ ps auxfww
> postgres   1899  0.0  0.0  93524  4444 ?        S    11:58   0:00 ./vnsoxpd

 В общем, берите первый попавшийся checkrootkit и проверяйте систему.

 Можно предварительно посмотреть куда эта зараза пытается сливать украденное.
 Например, поискать её коннекции (ss -nap | fgrep vnsoxpd). Хотя она может
 не успевать открыть никаких коннекций, а просто трапаться при запуске...
-- 
 Eugene Berdnikov

Reply to:

Follow-Ups:
- Re: странные kernel ошибки в логе
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: странные kernel ошибки в логе
  - From: Sohin Vyacheslav <in.soho@yandex.ua>

References:
- странные kernel ошибки в логе
  - From: Sohin Vyacheslav <in.soho@yandex.ua>
- Re: странные kernel ошибки в логе
  - From: Tim Sattarov <stimur@gmail.com>
- Re: странные kernel ошибки в логе
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: странные kernel ошибки в логе
  - From: Sohin Vyacheslav <in.soho@yandex.ua>
- Re: странные kernel ошибки в логе
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: странные kernel ошибки в логе
  - From: Sohin Vyacheslav <in.soho@yandex.ua>
- Re: странные kernel ошибки в логе
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: странные kernel ошибки в логе
  - From: Sohin Vyacheslav <in.soho@yandex.ua>

Prev by Date: Re: странные kernel ошибки в логе
Next by Date: Re: странные kernel ошибки в логе
Previous by thread: Re: странные kernel ошибки в логе
Next by thread: Re: странные kernel ошибки в логе
Index(es):
- Date
- Thread