Небольшой хостинговый сервер с FreeBSD 7.0 на борту.
Консоль управления ISPManager.Проблему заметили после того как сервак стал тормозить и в итоге перестал отвечать, пришлось аппаратно его ребутать.
Это было вызвано нехваткой своп-места и ресурсов из-за работы вирусного паука идентифицирующего себя как "Casper Bot Search".
Процессы поубивал, начал разбираться.
Схема работы трояна:
1. Через какую-то дыру запускается скачка тела виря с удалённых хостов через curl или lwp-download
2. Эти файлы сохраняются в /tmp и /var/tmp
3. Из темпа запускаются эти файлики: perl iso.txt, например.
Для управления собой конектяться на удалённые IRC сервера.
Файлы создаются с владельцем root и группой одного из юзерей хостинга. [странно очень]
Процессы выполняются от имени www, т.е. апача.
Еще эта скотина убивает апач и пытается под него замаскироваться, но не всегда как-то это у него выходило.
Вот собстно файлы которые оно заливает мне: http://ifolder.ru/18374420.
Что сделано:
1. Т.к. файлики пытаются создаваться с одинаковыми именами, поэтому создал свои такие-же пустые, без права изменять их кому-либо. (один раз набор названий файлов всё же поменялся)
2. Закрыл исходящие соединения на порты IRC 6666-6669
3. Убил временно сurl и lwp-download.
Прошла ночь - вирусные процессы не стартуют, уже хорошо.
Единственный лог где отражается активность виря, это errorlog дефолтного хоста апача.
Сейчас с интервалом 2-4 минуты появляются записи:
lwp-download: not found
curl: not found
т.е. скачать себя пытается, сволочь.
LogLevel debug - инфы не добавляет.
Весь сервер уже прогрепил на тему lwp-download и имён скриптов виря - нету.
Собстно задача: найти дыру...
Помогайте, коллеги!
