Xapu3ma-NN
@Xapu3ma-NN

Как найти майнер на linux, если по логам все хорошо?

Господа, задача исследования черного ящика или кота в мешке или коня в вакуме (называйте как хотите).
У нас есть узел с убунта сервер. [ Linux version 4.4.0-87-generic (buildd@lcy01-31) (gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4) ]
На сервере есть вредоносный код ( предположительно это какой-то майнер). Задача его найти.
По логам все вроде бы хорошо. Компрометации системы из вне не было. Есть предположения что он попал либо с каким-либо дистрибутивом либо был скомпрометирован репозиторий. Whitelist пакетов и приложений отсутствует. Мониторинга изменения файлов нет. Периода когда это произошло тоже нет.

RKHUNTER ничего не нашел. Подскажите куда копать и что смотреть?
  • Вопрос задан
  • 3765 просмотров
Решения вопроса 1
@younghacker
Верно говорят, майнер чтобы быть полезным обязан жрать процессор. Все ядра на сервере грузятся почти на 100%.
Поможет Вам команда top
А netstat -nap | grep -i 'established' покажет все установленные TCP сессии
и tcpdump поможет отловить исходящий трафик.

Буквально недавно боролся с майнером на дырявом сервере.
Аплоадят через php в папку /tmp
потом смотрят нет ли майнера в памяти ps afx и запускают его через nohup.
Так как дырявыми сайтами занимаются другие люди, пришлось запретить php запускать процессы.
С майнером это помогло. Потом началась борьма со спамом, и с использованием сервера для взлома и атаки других сайтов. Пришлось отрубить апачу возможность инициировать исходящие соединения и дропнуть весь UDP трафик. Это единственная возможность так как разработчики полгода не могут пропатчить сайты. Сайты до сих пор дярявы но майнеры не приживаются, спам не рассылается и атаки не ведутся. Хостер не жалуется. Сайты работают.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
GRbit
@GRbit
Linux, гитара, паяльник
Майнер грузит CPU, пали процессы которые грузят проц, используй strace если нужно
Ответ написан
Комментировать
@rustler2000
погромист сикраш
Сделай sha1sum всех файлов на больном.
Подними второй с темже набором пакетов.
Проверь что отличается.
Определи из .deb оно или иначе.
Если иначе - то "ручками" смотри - мониторь порты и обращения к ip dns

ps: etckeeper тоже нет?
Ответ написан
Комментировать
Одного из последних подобных майнеров выявил просто остановив все известные мне службы и посмотрел список запущенных процессов. один раз отключение службы вызвало "падение" трафика и так локализовал место нахождения другого майнера
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы