Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj, Filip
Zdar,
zacal by som "odpojenim od internetu", potom smejdenim v logoch, co sa tam vlastne asi tak dialo,a potom si pozri co su tam za prevadzkovane sluzby, na 99% zistis ze nieco z toho nie je aktiualizovane, a ma znamu bezpecnostnu chybu.
=>
Odpojit, najst vektor prieniku, opravit (a zamedzit aby sa to stalo znova), dalej idealne preinstalovat, ak chce clovek usetrit cas, moze to skusit len nejak precistit, ale podla mna sa to moc neoplati vo vysledku.
n.
On Wed, Aug 10, 2022 at 08:14:40AM +0200, Filip Bartmann wrote:
Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj, Filip
Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
Ahoj,
stale je to "nejaky proces", cize na zaciatok by som sledoval podozrivu komunikaciu napr. iptraf, tcpdump ulozit si pcap a wiresharkom analyzoval.
pozriet porty, co kde pocuva
root#*netstat -an*
a procesy
roott#*ps -ef*
a nakoniec fw, ci tam niekto-nieco nepridal ;) sledovat pocetnost
root#*/sbin/iptables -nL -v*
Emil
PS: ti je len taky jemny uvod do troubleshooting ;)
Dňa 10. 8. 2022 o 8:14 Filip Bartmann napísal(a):
Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj, Filip
Community-list mailing list --community-list@lists.vpsfree.cz To unsubscribe send an email tocommunity-list-leave@lists.vpsfree.cz
Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o prihlaseni a transfery dat.OFOdesláno z mého zařízení Galaxy -------- Původní zpráva --------Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] XMRing běží na VPS Ahoj,na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu.Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?Ahoj,Filip
Ahoj, reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(
st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr me@ondrejflidr.cz napsal:
Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).
Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o prihlaseni a transfery dat.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva -------- Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] XMRing běží na VPS
Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj, Filip _______________________________________________ Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
Weby samozrejme obnovis z nejnovejsi nenapadene zalohy a pred tim najdes a opravis diru.OFOdesláno z mého zařízení Galaxy -------- Původní zpráva --------Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 9:02 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] Re: XMRing běží na VPS Ahoj,reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr me@ondrejflidr.cz napsal:Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o prihlaseni a transfery dat.OFOdesláno z mého zařízení Galaxy-------- Původní zpráva --------Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] XMRing běží na VPS Ahoj,na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu.Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?Ahoj,Filip _______________________________________________ Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
Ahoj, nahrání jsem objevil v ssl access logu někdy v začátkem června a spuštění programu se projevilo až včera a zálohy mám za měsíc zpět :/(
st 10. 8. 2022 v 9:06 odesílatel Ondra Flidr me@ondrejflidr.cz napsal:
Weby samozrejme obnovis z nejnovejsi nenapadene zalohy a pred tim najdes a opravis diru.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva -------- Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 9:02 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] Re: XMRing běží na VPS
Ahoj, reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(
st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr me@ondrejflidr.cz napsal:
Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).
Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o prihlaseni a transfery dat.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva -------- Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] XMRing běží na VPS
Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Ahoj, Filip _______________________________________________ Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
A nebo jako kdysi za DrupalGeddonu (a Wordpress je takový kontinuální geddon), start over ;-)
MT
On 10. 08. 22 9:06, Ondra Flidr wrote:
Weby samozrejme obnovis z nejnovejsi nenapadene zalohy a pred tim najdes a opravis diru.
OF
Odesláno z mého zařízení Galaxy
-------- Původní zpráva -------- Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 9:02 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] Re: XMRing běží na VPS
Ahoj, reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(
st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr me@ondrejflidr.cz napsal:
Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou). Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o prihlaseni a transfery dat. OF Odesláno z mého zařízení Galaxy -------- Původní zpráva -------- Od: Filip Bartmann <filip.bartmann@gmail.com> Datum: 10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list" <community-list@lists.vpsfree.cz> Předmět: [vpsFree.cz: community-list] XMRing běží na VPS Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit? Ahoj, Filip _______________________________________________ Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
Community-list mailing list --community-list@lists.vpsfree.cz To unsubscribe send an email tocommunity-list-leave@lists.vpsfree.cz
Zkus pro zacatek projet celou VPS maldetem, jestli neco nenajde. Jenom bacha, vysledek chve projit rucne, protoze spousta hlavne php knihoven zpusobuje false positive.OFOdesláno z mého zařízení Galaxy -------- Původní zpráva --------Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 9:02 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] Re: XMRing běží na VPS Ahoj,reinstalace systému mi ale nepomůže odstranit vir z napadeného webu ;(st 10. 8. 2022 v 8:46 odesílatel Ondra Flidr me@ondrejflidr.cz napsal:Stejne skoncis preinstalaci komplet ty VPS (netusis, co za backdoory tam jsou).Nejcastejsi vektory jsou pak starej (=deravej) wordpress a pluginy, povoleny prihlaseni na ssh heslem a uzivatel se slabym heslem, obdobne ftp, povoleny spousteni souboru v /tmp. Koukni do logu na podivny pokusy o prihlaseni a transfery dat.OFOdesláno z mého zařízení Galaxy-------- Původní zpráva --------Od: Filip Bartmann filip.bartmann@gmail.com Datum: 10.08.22 8:21 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: [vpsFree.cz: community-list] XMRing běží na VPS Ahoj,na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu.Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?Ahoj,Filip _______________________________________________ Community-list mailing list -- community-list@lists.vpsfree.cz To unsubscribe send an email to community-list-leave@lists.vpsfree.cz
Ahoj,
stale je to "nejaky proces", cize na zaciatok by som sledoval podozrivu komunikaciu napr. iptraf, tcpdump ulozit si pcap a wiresharkom analyzoval.
pozriet porty, co kde pocuva
root#netstat -an
a procesy
roott#ps -ef
a nakoniec fw, ci tam niekto-nieco nepridal ;) sledovat pocetnost
root#/sbin/iptables -nL -v
Mozno nakoniec fakt budes musiet urobit rollback, ako stravit cas s hladanim ;)
Emil
Dne 10. 08. 22 v 8:14 Filip Bartmann napsal(a):
Ahoj, na VPS 20533 o kterou se pro jednoho člověka starám byl včera objeven proces xmrig což je podle všeho program na těžbu měn. VPSku jsem prohledával, ale nikde tam ani ve webech ani na filesystému nemůžu najít stopu po tomto programu. Na VPSce běží běžné weby. Kterým směrem bych se měl zaměřit?
Odkud je spuštěný process $PID se dá zjistit takto: ls -l /proc/$PID/exe
Je to symlink na soubor, který nahrálo poslední volání funkce exec() v daném procesu.
community-list@lists.vpsfree.cz
-
Emil Devecka -
emil@devecka.sk
-
Filip Bartmann -
Marek Tichy -
Martin Doucha -
niekt0 -
Ondra Flidr