R
lsof |grep sda2 и убить процесс занявший, после - e2fsck /dev/sda2; resize2fs /dev/sda2
просто это раздел, в котором я нахожусь
корневой
корневой
Size: a a a
2020 November 23
SS
Этот майнер пролазит в систему через открытый порт редиса без авторизации
SS
В моем случае я ловил так
a6
Radik
просто это раздел, в котором я нахожусь
корневой
корневой
ну так cd ~ (в том случае если хомяк не sda2)
R
ну так cd ~ (в том случае если хомяк не sda2)
хомяк...
a6
mkdir /tmp/username && usermod -d /tmp/username username; . source ~/.profile && cd ~ ; lsof ....
D
Этот майнер пролазит в систему через открытый порт редиса без авторизации
А почему он тогда от юзера вебсервера..
MT
а может у Дениса там и редиса нет
MT
хотя я хз редис в стандартной поставке на убунту не открыт для внешнего мира, там вроде коннекты только с 127.0.0.1
V
Кмк тип зловреда и методы его проникновения на машину никак не связаны.
a6
Radik
просто это раздел, в котором я нахожусь
корневой
корневой
а какая у тебя задача?
SS
А почему он тогда от юзера вебсервера..
R
а какая у тебя задача?
расширяю диск на вм
a6
а какая у тебя задача?
Странный изврат на корне самого себя менять без ремаунта, я так понимаю размер корня поменять без ребута тебе надо (ремаунт возможен через parted && rescan таргета, в зависимости от того что за тачка\виртуалка).
SS
А почему он тогда от юзера вебсервера..
В общем он эксплуатирует уязвимость редиса для того чтобы залезть на сервер. А дальше поднимает свой процесс
SS
a6
MT
В моем варианте кто то поднял редис в докер контейнере с ports 6379:6379. Этого уже хватало
хах ну так бывает
SS
Ну собственно у меня вся эта херь и крутилась в одном контейнере. Поэтому лечилось очень легко
MT
надо в доке докера делать явно -p 127.0.0.1:80:80 чтобы люди знали что так можно