![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
linuxspyware
Почти год назад, 18хаоса3180, впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы:
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.
upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42
http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy
То есть, скорее всего, троян этот made in China.
впервые запись была опубликована здесь
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.
upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42
http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy
То есть, скорее всего, троян этот made in China.
впервые запись была опубликована здесь