Непонятный траф

Аватар пользователя vetal80

При работе в АСПлинуксе14 заметил, что при нерабочей в инете машине есть паразитный траф. поставил сниффер и обнаружил, что что-то лезет в инет - причем обращение идет на порты ircd на серваки в инете. что это может быть?
причем вот что увидел в ответе от сервака:
:Ede.NL.EU.UnderNet.Org 433 * Amaral :Nickname is already in use.

троян в дистре?

Аватар пользователя vetal80

Re: непонятный траф

продолжим тему. вот как это выглядит в нетстате:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 x.x.x.x:59135 69.16.172.34:6667 ESTABLISHED 2530/bash
tcp 0 1 x.x.x.x:33206 195.204.1.130:6667 SYN_SENT 2530/bash
tcp 0 0 x.x.x.x:43626 64.18.128.86:6667 ESTABLISHED 2530/bash
tcp 0 1 x.x.x.x:45269 64.161.255.200:6667 SYN_SENT 2530/bash
tcp 0 1 x.x.x.x:42888 195.204.1.132:6667 SYN_SENT 2530/bash
tcp 0 124 x.x.x.x:60373 194.109.20.90:6667 ESTABLISHED 2530/bash

вот вывод pstree:
[root@localhost home]# pstree -p
init(1)─┬─NetworkManager(1874)─┬─dhclient(2804)
│ └─{NetworkManager}(2036)
├─acpid(1730)
├─anacron(1956)
├─atd(1938)
├─bash(2530)
├─bonobo-activati(2244)───{bonobo-activati}(2245)
├─clock-applet(2365)

и ps:

[root@localhost home]# ps ef2530
PID TTY STAT TIME COMMAND
2530 ? Ss 0:00 bash SHELL=/bin/sh USER=root PATH=. PWD=/tmp/.img SHLVL=3 HOME=/root LOGNAME=root _=./bash

как можно еще что-то узнать об этом процессе? как найти где оно запускается?

зы также есть инфа, захваченная сниффером. если интересно разрабам - могу скинуть на мыло.

Аватар пользователя Max077

Re: непонятный траф

проверь crontab файлы всех пользователей и в директории /var/spool/cron посмотри. еще проверь стандартные папки для временных файлов: /tmp , /var/tmp .
похоже он тут запускается /tmp/.img

Аватар пользователя vetal80

Re: непонятный траф

точно - в каталоге /var/spool/cron лежал файлик root и там был запуск этих скриптов в каталоге tmp.
так а что это такое? откуда оно могло взяться? это в дистре было или просочилось?
я в шоке......

Аватар пользователя Pauli

Re: непонятный траф

В первый же выходной после релиза поставил Cobalt на ноут, ставил группы (кроме базовой, разумеется): офисные и программирование. Так с тех пор и живу. Левого трафика не наблюдаю.
/var/tmp/ пуст, /var/spool/cron пуст, /tmp/.img не существует
Будем надеяться, что это добро по недосмотру оставили в одном из редко используемых пакетов. Ты не ставил ничего такого оригинального? А обновляешься? Я сразу обновился до актуального.
Если оно было в дистре - это четверть беды, уже ушло или уйдет при обновлении. А вот если просочилось, то уже тревожно.

Аватар пользователя vetal80

Re: непонятный траф

оригинального (из левых репозиториев) не ставил ничего.
вроде (точно не помню) ставил новый флеш плеер с сайта адобэ, ставил несколько дополнений к лисичке (адблок, погода, скин).
ну и еще есть вероятность, что просочилась кака изза простого пароля рута и юзера........по крайней мере перебор пароля по ссш фиксировал (посмотрю тщательнее логи. кстати - руту по ссш разрешено заходить - это нехорошо).

Аватар пользователя Pauli

Re: непонятный траф

Эх, хлопотно это. Что именно ломится мы и так знаем, как убить знаем, а вот в каком пакете или при каких обстоятельствах появилось... Искать по всем пакетам по ключевому слову - накладно выйдет, пакеты еще разжимать придется. Так что на твоем месте я бы плюнул и переустановился, но на этот раз был бы внимательнее.
Далее. Имею (знаю, спорное) мнение, что в некоторых случаях пароль рута лучше вообще снести passwd -d root
Резон такой, что без пароля по ssh войти нельзя в принципе, вот и пусть себе ломают то, чего нет. Хоть до морковкина заговенья. Зато в настройки входить станет легко и просто.
Купи себе простенький аппаратный NAT-маршрутизатор, и живи спокойно. В частную сеть извне, если ты сам порт не открыл, - нет, вряд ли.

Аватар пользователя vetal80

Re: непонятный траф

несколько вопросов:
1) мы - это кто?разрабы дистра?
2) я понял из поста, что ситуацию получилось повторить? то есть реально где-то в репозитории кака?

RSS-материал