BrainyCP

Приветствую всех.
Когда то давно эта тема уже тут была. И уязвимость была устранена.
Но с сентября этого года мой хостер постоянно мне сообщал что уж долго LA CPU превышает 5-6 при 4-ядрах.
Долго копался, рылся, но так и не нашел сначала что грузит.


Поддержка не смогла выявить что нагружает. Разговора и подозрений на зловред не было )
Только спустя время я задумался над - Грузит хитро, когда заходишь по ssh нагрузка прекращается

Стал рыть и нашел такие вещи:

CRON 11 * * * * /root/.config/cron/perfcc - VIRUSTOTAL смотрим

Так была определены файлы связанные с датой влияния

find / -newermt "2023-09-14" ! -newermt "2023-09-16" то есть 15 сентября

РЕЗУЛЬТАТЫ:

/etc/profile - зловредом добавлена строка export PATH=/bin/.local/bin:$PATH скрытая директория на которую ругнулся rkhunter --check как Warning

/bin/.local/bin

ls -la /usr/bin/.local/bin/
total 88
drwxr-xr-x 2 root root 4096 Dec 28 12:11 .
drwxr-xr-x 3 root root 4096 Sep 15 16:02 ..
-rwxr-xr-x 1 root root 15728 Dec 22 17:27 crontab VIRUSTOTAL смотрим
-rwxr-xr-x 1 root root 15952 Dec 22 17:27 htop
-rwxr-xr-x 1 root root 15504 Dec 22 17:27 ldd VIRUSTOTAL смотрим
-rwxr-xr-x 1 root root 15608 Dec 22 17:27 lsof
-rwxr-xr-x 1 root root 15880 Dec 22 17:27 top VIRUSTOTAL смотрим

/etc/systemd/system/timers.target.wants
/etc/systemd/system/timers.target.wants/kmodaudit.timer создан сервис kmodaudit.service

[Unit]
Description=Kernel module perf audit and reporting
Wants=kmodaudit.timer
[Service]
Type=oneshot
RemainAfterExit=yes
Environment=FSYSD=sd
ExecStart=/bin/perfcc шалунишка который работает на своего хозяина
StandardOutput=null
StandardError=null
TimeoutStopSec=1s
TimeoutStartSec=1y
[Install]
WantedBy=multi-user.target


Повязанные одним делом файлы, которые по другим проверкам VIRUSTOTAL связаны с perfcc

2023-10-03 2023-10-03 16:36:02 UTC libgcwrap.so
2023-10-04 2023-10-04 02:49:13 UTC lsof
2023-12-04 2023-12-04 07:48:09 UTC perfcc
2023-10-19 2023-10-19 05:48:34 UTC top
2023-11-09 2023-11-09 07:31:55 UTC crontab
2023-10-09 2023-10-09 07:34:19 UTC perfcc.bin
2023-11-09 2023-11-09 07:31:53 UTC strace
2023-10-05 2023-10-05 10:57:01 UTC wizlmsh
2023-12-04 2023-12-04 20:11:25 UTC edac-poller
2023-09-24 2023-09-24 22:07:05 UTC htop
2023-11-09 2023-11-09 07:31:54 UTC ldd

Также был найден файл и каталог traffmonetizer пахнет вот этим сервисом заработка

ls -la /root/.config/traffmonetizer/
total 12
drwxr-xr-x 2 root root 4096 Sep 16 20:48 .
drwx------ 10 root root 4096 Sep 26 14:40 ..
-rw-r--r-- 1 root root 65 Dec 27 20:46 storage.json в котором ID токен того кому пойдут деньги за работу моего сервера

Буду дополнять по мере дальнейших находок. Так как я думаю история с моим сервером в этом плане еще не окончена
Будьте бдительны!

о какой системе идет речь?

CentOS 7 2009
Пишу по памяти. Сейчас он не доступен пока.

Решил я удалить скрытую директорию /usr/bin/.local/bin/

И убрать переменную из /etc/profile

Переустановил top htop lsof и пр.

После этого снова появлется /usr/bin/.local/bin/ с файлами которые выше указаны
Успел через файлменеджер скачать top из /usr/bin/.local/bin/ и из /bin По весу они отличаются сильно.
VIRUSTOTAL определил top как зловред, а с файлом top из /bin все ОК

Сдается мне что манипуляция с репозиториями. Жуть.

Работа сервера восстановлена, но манипуляции по поиску и устранению гадости продолжаются.
Новые подробности этой истории я опубликую.
Приостановка работы сервера была приостановлена по причине сильной атаки моего хостера ddos.
Хостер топовый. Россия, Москва. Но пока что не могу сообщить его.

Я правильно понимаю что это ложное срабатывания rkhunter?

[13:05:50] Checking for enabled xinetd services [ Warning ]
[13:05:50] Warning: Found enabled xinetd service: /etc/xinetd.d/brainy

После аудита системой Wazuh определился руткит на уровне ядра.

sbury писал(а): ↑

Чт дек 28, 2023 12:02 pm

о какой системе идет речь?

Код: Выделить всё

cat /etc/os-release

cat /etc/os-release
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

Проблема была решена только полной переустановкой системы на VPS и панели заново со сменой всех паролей.
Так как заражение было на уровне ядра и бороться с этим выборочно на действующей системе не имеет смысла.
Рекомендация тем, кто будет читать.

Будьте внимательны к docker в системе и к тому, что вы в нем разворачиваете. Так как у меня все таки подозрение, что все произошло из этого.
К сожалению в моем случае docker rootless вариант не поддерживает docker swarm из-за оверлейных сетей. Может в будущем такое исправят.
А так при текущем положении вещей в среде docker (podman не захотел) приходится вводить постоянный мониторинг уязвимости (CVE) в системе и сканирование образов (в моем случае trivy, rkhunter, wazuh)

Clamav исключил на первых парах сразу потому, что много ресурсов ОЗУ жрет.

Спасибо за инфо