TATARiiiN
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Друзья, больше как к вам особо не пришло в голову куда можно обратиться... В общем описываю ситуацию, недавно работал с прогерами (сам САдм) отдал рабочий сторэдж для картинок minio (наверное кто то встречал) и без задних мыслей отдал с лайтовым root пассом)) надеясь, что народ догадается поменять, т.к. я особо к этой задаче не был подключен, настроил, отдал и "Концы в воду" как говорится) Серв, смотрел белой статикой наружу и вот не задача, через месяц юзания на заббикс приходит алярм, passwd root!!!) Хорошо, что всё на гипервизоре, не долго думая меняю пасс на посильнее, узнаю у прогреров кто и что, а нас то оказывается форсили!!!)) и никто не слухом не духом!)) Далее ps aux показывает запущен подозрительный бинарник с названием "nsyhs" из temp/. Грохаю "Kill @pid" на всякий случай отключая от сети, сегодня минут за 15 поняли новый, всё пашет, но хотелось бы выяснить что сий зверёк хотел и куда ломился... почти 5мб! интересно что там понаписанно))) Ассемб помню только с универа да и подзабыл малёха!) попытался RecStudio4, тот мне выдал: 0000264F: 0x0804A64F: 8D4C2404 lea ecx, [esp+0x00000004] 00002653: 0x0804A653: 83E4F0 and esp, 0xFFFFFFF0 00002656: 0x0804A656: FF71FC push dword [ecx-0x00000004] 00002659: 0x0804A659: 55 push ebp 0000265A: 0x0804A65A: 89E5 mov ebp, esp 0000265C: 0x0804A65C: 57 push edi 0000265D: 0x0804A65D: 56 push esi 0000265E: 0x0804A65E: 53 push ebx 0000265F: 0x0804A65F: 51 push ecx 00002660: 0x0804A660: 81EC18010000 sub esp, 0x00000118 00002666: 0x0804A666: 8B31 mov esi, [ecx] 00002668: 0x0804A668: 8B5904 mov ebx, [ecx+0x00000004] 0000266B: 0x0804A66B: E82C2B0000 call L0804D19C 00002670: 0x0804A670: BA00685A08 mov edx, M085A6800 00002675: 0x0804A675: 8985E0FEFFFF mov [ebp-0x00000120], eax 0000267B: 0x0804A67B: B992020000 mov ecx, 0x00000292 00002680: 0x0804A680: 31C0 xor eax, eax 00002682: 0x0804A682: 89D7 mov edi, edx 00002684: 0x0804A684: F3AB rep stosd 00002686: 0x0804A686: E823140000 call L0804BAAE 0000268B: 0x0804A68B: 85C0 test eax, eax 0000268D: 0x0804A68D: 750A jnz L0804A699 L0804A68F: // Refs: 0000268F: 0x0804A68F: 83EC0C sub esp, 0x0000000C 00002692: 0x0804A692: 6A01 push 0x00000001 00002694: 0x0804A694: E9FD000000 jmp L0804A796 L0804A699: // Refs: L0804A68D 00002699: 0x0804A699: 4E dec esi 0000269A: 0x0804A69A: 7E20 jle L0804A6BC L0804A69C: // Refs: 0000269C: 0x0804A69C: 50 push eax 0000269D: 0x0804A69D: 50 push eax 0000269E: 0x0804A69E: 6863AE3008 push M0830AE63 {"--no-daemon"} 000026A3: 0x0804A6A3: FF7304 push dword [ebx+0x00000004] Может, кто подскажет куда дальше копать и что поглядеть)) как зверька расковырять и выяснить чтож хотел подлец!))) любые подсказки))) о результате отпишусь сразу же как только расковыряем!) С Уважением. |