Где может находиться вирус, если по месту, где он указан его уже нет, но он запускается?
Ко мне несколько дней назад закинули руткит/майнер/брутер на сервер. Я поменял все пароли, запретил доступ как переписыванию файлов конфигурации ssh, удалил исходник вируса и его с сервера. А так же написал антивирус, который по паттерну его ищет и убивает. И он все еще его находит. Я уже перебрал все файлы конфигурации, которые я знаю, но не могу понять, как он запускается при подключению по ssh, если сам оригинальный файл /usr/bin/bash не менялся. Подскажите пожалуйста еще места, где он может быть исходя из лога ниже:
Nov 6 11:48:51 gen safeguard[679844]: [*] Starting check of bash-fuckoff pattern
Nov 6 11:48:51 gen safeguard[679844]: [Check 1] No processhider found
Nov 6 11:48:51 gen safeguard[679844]: [Check 2] No processhider found
Nov 6 11:48:51 gen safeguard[679844]: tcp 0 0 192.168.1.2:50224 137.184.28.195:http ESTABLISHED 679808/-bash
Nov 6 11:48:51 gen safeguard[679844]: Found -bash running at pid 679808
Nov 6 11:48:51 gen safeguard[679844]: lrwxrwxrwx 1 root root 0 Nov 6 11:48 /proc/679808/exe -> /usr/bin/-bash (deleted)
Nov 6 11:48:51 gen safeguard[679844]: Killing 679808
Nov 6 11:48:51 gen safeguard[679844]: Successfully killed
Nov 6 11:48:51 gen safeguard[679844]: [*] Stopping check of bash-fuckoff pattern
Причем если заходить под шеллом sh, он не запускается.
Lsof:
Found -bash running at pid 1259943
-------LSOF-----------
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
-bash 1259943 root cwd DIR 8,1 4096 2 /
-bash 1259943 root rtd DIR 8,1 4096 2 /
-bash 1259943 root txt REG 8,1 2365616 508977 /usr/sbin/-bash
-bash 1259943 root DEL REG 0,14 57204116 /anon_hugepage
-bash 1259943 root DEL REG 0,14 57203978 /anon_hugepage
-bash 1259943 root 0r FIFO 0,12 0t0 57202639 pipe
-bash 1259943 root 1w CHR 1,3 0t0 4 /dev/null
-bash 1259943 root 2w CHR 1,3 0t0 4 /dev/null
-bash 1259943 root 3r CHR 1,9 0t0 9 /dev/urandom
-bash 1259943 root 4u REG 8,1 0 267435 /tmp/.lock
-bash 1259943 root 5u a_inode 0,13 0 8973 [eventpoll]
-bash 1259943 root 6r FIFO 0,12 0t0 57203548 pipe
-bash 1259943 root 7w FIFO 0,12 0t0 57203548 pipe
-bash 1259943 root 8r FIFO 0,12 0t0 57203545 pipe
-bash 1259943 root 9w FIFO 0,12 0t0 57203545 pipe
-bash 1259943 root 10u a_inode 0,13 0 8973 [eventfd]
-bash 1259943 root 11u a_inode 0,13 0 8973 [eventfd]
-bash 1259943 root 12u a_inode 0,13 0 8973 [eventfd]
-bash 1259943 root 13r CHR 1,3 0t0 4 /dev/null
-bash 1259943 root 14u IPv4 57203680 0t0 TCP 192.168.1.2:47192->vps-57ca5d6a.vps.ovh.net:http (ESTABLISHED)
lrwxrwxrwx 1 root root 0 Nov 7 21:17 /proc/1259943/exe -> /usr/sbin/-bash Killing 1259943
Successfully killed Found fake bash. Removing it
PSTREE
-------PSTREE--------
-bash(1266362)-+-{-bash}(1266364)
|-{-bash}(1266365)
|-{-bash}(1266366) |-{-bash}(1266367)
|-{-bash}(1266368) |-{-bash}(1266393)
`-{-bash}(1266394)
Ответы (2 шт):
Исходя из лога там есть ещё один файл, который записывает этот файл, потом делает exec и сразу unlink.
Я бы начал с включения аудита на этот путь. Возможно эксплоит ещё гдето лежит. в планировщике или в вэб сервере.
Он сам себя выдал. В общем если у кого-то будет этот вирус, уже есть инструкция.
Решение проблемы с этим вирусом
P.S> Но я все-таки его зареверсил и нашел много интересного. Всем кто пытался помочь, спасибо.