У меня такое было через дырку в цмс (джумла)
Как оно получилось:
1) через дыру смогли заинклюдить файл с ремотного хоста
2) этот файл сохранял си исходник и запускал гцц. гцц там был
3) искали места где врайтабл для всех и клали бинарник туда с именами
вроде неймд или апаче
4) пытались (хаха) получить рута линуксовыми эксплоитами, обломались
5) запустили процессы и начали ддосить и спамить. Были замечены айдисом
и найдены с помощью tripwire и логов веб сервера.
Вот так они и беруться ) Соответственно посикс сырец будет
компилироваться везде где есть цц и posix layer.
On 11/13/2010 03:17 PM, Alexander Andreyev wrote:
Вот такую гадость у себя на одном хосте сегодня нашел.
Грузила исходящий канал так, что 80% пакетов терялось.
После кучи попыток подключиться ssh-ем и получить список процессов это
удалось.
Это был процесс с именем bsd с PRI 99
Я его успешно грохнул и нашел потом бинарник в /etc
вот такой:
-rwxr-xr-x 1 root wheel 23241 Nov 12 12:47 bsd
# file bsd
bsd: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), for
FreeBSD 8.0 (800107), dynamically linked (uses shared libs),
FreeBSD-style, not stripped
Вот интересно теперь знать, что это было? DOS? спам?
Ну и естественно откуда оно взялось.
Подозреваю что с каких-то дырявых сайтов которые там хостятся.
Кто может поковырять и кому интересно могу прислать бинарник.
А я пока логи сайтов полистаю...
