TATARiiiN
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Друзья, больше как к вам особо не пришло в голову куда можно обратиться...
В общем описываю ситуацию, недавно работал с прогерами (сам САдм) отдал рабочий сторэдж для картинок minio (наверное кто то встречал) и без задних мыслей отдал с лайтовым root пассом)) надеясь, что народ догадается поменять, т.к. я особо к этой задаче не был подключен, настроил, отдал и "Концы в воду" как говорится)
Серв, смотрел белой статикой наружу и вот не задача, через месяц юзания на заббикс приходит алярм, passwd root!!!) Хорошо, что всё на гипервизоре, не долго думая меняю пасс на посильнее, узнаю у прогреров кто и что, а нас то оказывается форсили!!!)) и никто не слухом не духом!))
Далее ps aux показывает запущен подозрительный бинарник с названием "nsyhs" из temp/.
Грохаю "Kill @pid" на всякий случай отключая от сети, сегодня минут за 15 поняли новый, всё пашет, но хотелось бы выяснить что сий зверёк хотел и куда ломился...
почти 5мб! интересно что там понаписанно))) Ассемб помню только с универа да и подзабыл малёха!) попытался RecStudio4, тот мне выдал:
0000264F: 0x0804A64F: 8D4C2404 lea ecx, [esp+0x00000004]
00002653: 0x0804A653: 83E4F0 and esp, 0xFFFFFFF0
00002656: 0x0804A656: FF71FC push dword [ecx-0x00000004]
00002659: 0x0804A659: 55 push ebp
0000265A: 0x0804A65A: 89E5 mov ebp, esp
0000265C: 0x0804A65C: 57 push edi
0000265D: 0x0804A65D: 56 push esi
0000265E: 0x0804A65E: 53 push ebx
0000265F: 0x0804A65F: 51 push ecx
00002660: 0x0804A660: 81EC18010000 sub esp, 0x00000118
00002666: 0x0804A666: 8B31 mov esi, [ecx]
00002668: 0x0804A668: 8B5904 mov ebx, [ecx+0x00000004]
0000266B: 0x0804A66B: E82C2B0000 call L0804D19C
00002670: 0x0804A670: BA00685A08 mov edx, M085A6800
00002675: 0x0804A675: 8985E0FEFFFF mov [ebp-0x00000120], eax
0000267B: 0x0804A67B: B992020000 mov ecx, 0x00000292
00002680: 0x0804A680: 31C0 xor eax, eax
00002682: 0x0804A682: 89D7 mov edi, edx
00002684: 0x0804A684: F3AB rep stosd
00002686: 0x0804A686: E823140000 call L0804BAAE
0000268B: 0x0804A68B: 85C0 test eax, eax
0000268D: 0x0804A68D: 750A jnz L0804A699
L0804A68F: // Refs:
0000268F: 0x0804A68F: 83EC0C sub esp, 0x0000000C
00002692: 0x0804A692: 6A01 push 0x00000001
00002694: 0x0804A694: E9FD000000 jmp L0804A796
L0804A699: // Refs: L0804A68D
00002699: 0x0804A699: 4E dec esi
0000269A: 0x0804A69A: 7E20 jle L0804A6BC
L0804A69C: // Refs:
0000269C: 0x0804A69C: 50 push eax
0000269D: 0x0804A69D: 50 push eax
0000269E: 0x0804A69E: 6863AE3008 push M0830AE63 {"--no-daemon"}
000026A3: 0x0804A6A3: FF7304 push dword [ebx+0x00000004]
Может, кто подскажет куда дальше копать и что поглядеть)) как зверька расковырять и выяснить чтож хотел подлец!))) любые подсказки))) о результате отпишусь сразу же как только расковыряем!)
С Уважением. |
)