10 Aug
2022
10 Aug
'22
6:14 a.m.
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip
10 Aug
10 Aug
6:39 a.m.
Zdar,
zacal by som "odpojenim od internetu", potom smejdenim v logoch, co sa tam
vlastne asi tak dialo,a potom si pozri co su tam za prevadzkovane sluzby,
na 99% zistis ze nieco z toho nie je aktiualizovane, a ma znamu bezpecnostnu
chybu.
=>
Odpojit, najst vektor prieniku, opravit (a zamedzit aby sa to stalo znova),
dalej idealne preinstalovat, ak chce clovek usetrit cas, moze to skusit len
nejak precistit, ale podla mna sa to moc neoplati vo vysledku.
n.
On Wed, Aug 10, 2022 at 08:14:40AM +0200, Filip Bartmann wrote:
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
6:44 a.m.
Ahoj,
stale je to "nejaky proces", cize na zaciatok by som sledoval podozrivu
komunikaciu napr. iptraf, tcpdump ulozit si pcap a wiresharkom analyzoval.
pozriet porty, co kde pocuva
root#*netstat -an*
a procesy
roott#*ps -ef*
a nakoniec fw, ci tam niekto-nieco nepridal ;) sledovat pocetnost
root#*/sbin/iptables -nL -v*
Emil
PS: ti je len taky jemny uvod do troubleshooting ;)
Dňa 10. 8. 2022 o 8:14 Filip Bartmann napísal(a):
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip
_______________________________________________
Community-list mailing list --community-list(a)lists.vpsfree.cz
To unsubscribe send an email tocommunity-list-leave(a)lists.vpsfree.cz
6:46 a.m.
Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).Nejcastejsi
vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem
a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do
logu na podivny pokusy o prihlaseni a transfery dat.OFOdesláno z mého zařízení Galaxy
-------- Původní zpráva --------Od: Filip Bartmann <filip.bartmann(a)gmail.com> Datum:
10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list"
<community-list(a)lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] XMRing běží
na VPS Ahoj,na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces
xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani
ve webech ani na filesystému nemůžu najít stopu po tomto programu.Na VPSce běží běžné
weby. Kterým směrem bych se měl zaměřit?Ahoj,Filip
7:02 a.m.
Ahoj,
reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(
st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr <me(a)ondrejflidr.cz> napsal:
Stejne skoncis preinstalaci komplet ty VPS (netusis,
co za backdoory tam
jsou).
Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy,
povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp,
povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o
prihlaseni a transfery dat.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva --------
Od: Filip Bartmann <filip.bartmann(a)gmail.com>
Datum: 10.08.22 8:21 (GMT+01:00)
Komu: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět: [vpsFree.cz: community-list] XMRing běží na VPS
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
7:06 a.m.
Weby samozrejme obnovis z nejnovejsi nenapadene zalohy a pred tim najdes a opravis
diru.OFOdesláno z mého zařízení Galaxy
-------- Původní zpráva --------Od: Filip Bartmann <filip.bartmann(a)gmail.com> Datum:
10.08.22 9:02 (GMT+01:00) Komu: "vpsFree.cz Community list"
<community-list(a)lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] Re: XMRing
běží na VPS Ahoj,reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(st
10. 8. 2022 v 8:46 odesílatel Ondra Flidr <me(a)ondrejflidr.cz> napsal:Stejne skoncis
preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).Nejcastejsi vektory jsou
pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se
slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny
pokusy o prihlaseni a transfery dat.OFOdesláno z mého zařízení Galaxy-------- Původní
zpráva --------Od: Filip Bartmann <filip.bartmann(a)gmail.com> Datum: 10.08.22 8:21
(GMT+01:00) Komu: "vpsFree.cz Community list"
<community-list(a)lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] XMRing běží
na VPS Ahoj,na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces
xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani
ve webech ani na filesystému nemůžu najít stopu po tomto programu.Na VPSce běží běžné
weby. Kterým směrem bych se měl zaměřit?Ahoj,Filip
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
7:09 a.m.
Ahoj,
nahrání jsem objevil v ssl access logu někdy v začátkem června a spuštění
programu se projevilo až včera a zálohy mám za měsíc zpět :/(
st 10. 8. 2022 v 9:06 odesílatel Ondra Flidr <me(a)ondrejflidr.cz> napsal:
Weby samozrejme obnovis z nejnovejsi nenapadene zalohy
a pred tim najdes a
opravis diru.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva --------
Od: Filip Bartmann <filip.bartmann(a)gmail.com>
Datum: 10.08.22 9:02 (GMT+01:00)
Komu: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět: [vpsFree.cz: community-list] Re: XMRing běží na VPS
Ahoj,
reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(
st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr <me(a)ondrejflidr.cz> napsal:
Stejne skoncis preinstalaci komplet ty VPS
(netusis, co za backdoory tam
jsou).
Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy,
povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp,
povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o
prihlaseni a transfery dat.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva --------
Od: Filip Bartmann <filip.bartmann(a)gmail.com>
Datum: 10.08.22 8:21 (GMT+01:00)
Komu: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět: [vpsFree.cz: community-list] XMRing běží na VPS
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
7:10 a.m.
A nebo jako kdysi za DrupalGeddonu (a Wordpress je takový kontinuální
geddon), start over ;-)
MT
On 10. 08. 22 9:06, Ondra Flidr wrote:
Weby samozrejme obnovis z nejnovejsi nenapadene zalohy
a pred tim
najdes a opravis diru.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva --------
Od: Filip Bartmann <filip.bartmann(a)gmail.com>
Datum: 10.08.22 9:02 (GMT+01:00)
Komu: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět: [vpsFree.cz: community-list] Re: XMRing běží na VPS
Ahoj,
reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(
st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr <me(a)ondrejflidr.cz> napsal:
Stejne skoncis preinstalaci komplet ty VPS (netusis, co za
backdoory tam jsou).
Nejcastejsi vektory jsou pak starej (=deravej) wordpress a
pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym
heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do
logu na podivny pokusy o prihlaseni a transfery dat.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva --------
Od: Filip Bartmann <filip.bartmann(a)gmail.com>
Datum: 10.08.22 8:21 (GMT+01:00)
Komu: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět: [vpsFree.cz: community-list] XMRing běží na VPS
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera
objeven proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na
filesystému nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj,
Filip
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
_______________________________________________
Community-list mailing list --community-list(a)lists.vpsfree.cz
To unsubscribe send an email tocommunity-list-leave(a)lists.vpsfree.cz
7:16 a.m.
Zkus pro zacatek projet celou VPS maldetem, jestli neco nenajde. Jenom bacha, vysledek
chve projit rucne, protoze spousta hlavne php knihoven zpusobuje false positive.OFOdesláno
z mého zařízení Galaxy
-------- Původní zpráva --------Od: Filip Bartmann <filip.bartmann(a)gmail.com> Datum:
10.08.22 9:02 (GMT+01:00) Komu: "vpsFree.cz Community list"
<community-list(a)lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] Re: XMRing
běží na VPS Ahoj,reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(st
10. 8. 2022 v 8:46 odesílatel Ondra Flidr <me(a)ondrejflidr.cz> napsal:Stejne skoncis
preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).Nejcastejsi vektory jsou
pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se
slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny
pokusy o prihlaseni a transfery dat.OFOdesláno z mého zařízení Galaxy-------- Původní
zpráva --------Od: Filip Bartmann <filip.bartmann(a)gmail.com> Datum: 10.08.22 8:21
(GMT+01:00) Komu: "vpsFree.cz Community list"
<community-list(a)lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] XMRing běží
na VPS Ahoj,na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces
xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani
ve webech ani na filesystému nemůžu najít stopu po tomto programu.Na VPSce běží běžné
weby. Kterým směrem bych se měl zaměřit?Ahoj,Filip
_______________________________________________
Community-list mailing list -- community-list(a)lists.vpsfree.cz
To unsubscribe send an email to community-list-leave(a)lists.vpsfree.cz
7:06 a.m.
Ahoj,
stale je to "nejaky proces", cize na zaciatok by som sledoval podozrivu
komunikaciu napr. iptraf, tcpdump ulozit si pcap a wiresharkom analyzoval.
pozriet porty, co kde pocuva
root#netstat -an
a procesy
roott#ps -ef
a nakoniec fw, ci tam niekto-nieco nepridal ;) sledovat pocetnost
root#/sbin/iptables -nL -v
Mozno nakoniec fakt budes musiet urobit rollback, ako stravit cas s hladanim ;)
Emil
4:39 p.m.
Dne 10. 08. 22 v 8:14 Filip Bartmann napsal(a):
Ahoj,
na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven
proces xmrig což je podle všeho program na těžbu měn.
VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému
nemůžu najít stopu po tomto programu.
Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Odkud je spuštěný process $PID se dá zjistit takto:
ls -l /proc/$PID/exe
Je to symlink na soubor, který nahrálo poslední volání funkce exec() v
daném procesu.
864
days inactive
864
days old
community-list@lists.vpsfree.cz
10 comments
7 participants
participants (7)
-
Emil Devecka -
emil@devecka.sk
-
Filip Bartmann -
Marek Tichy -
Martin Doucha -
niekt0 -
Ondra Flidr