Вчера впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы:
cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx
Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в
Ubuntu, но и в
CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.
upd: Файлы берутся вот с этих адресов:
http://whois.net/ip-address-lookup/122.224.34.42http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddyТо есть, скорее всего, троян этот made in China.
#
software #
opensource #
infosecoriginal post@ljr
Support Hubzilla