Вы здесь:

Virus в Linux

Информация о материале
Категория: Разное
Просмотров: 112

При установке Jenkins словил поганку (похоже, скачал Jenkins с какого-то левого сайта).

Маскируется под процессы /usr/sbin/docker-proxy, /usr/sbin/docker-compose. Висят в памяти и отжирают 100% CPU. Процессы можно убить, но они снова запускаются. Файлы не удаляются:

$ sudo rm -f docker-cache
rm: невозможно удалить 'docker-cache': Операция не позволена

НЕ УДАЛЯЕТСЯ ДАЖЕ ИЗ ПОД ROOT!
Лечение:

$ sudo chattr -i -a docker-cache //!!! вот решение
$ sudo rm -f docker-cache

Рецепт отсюда: https://unix.stackexchange.com/questions/29902/unable-to-delete-file-even-when-running-as-root

Разное

Получение ПОЛНОЙ строки запуска процесса (на примере Spring Boot Kotlin приложения) ps -Flww -p <PID>:

$ ps -Flww -p 7482
F S UID          PID    PPID  C PRI  NI ADDR SZ WCHAN    RSS PSR STIME TTY          TIME CMD
0 S vasi        7482    7341  0  80   0 - 1639216 futex_ 331720 2 Sep28 ?       00:04:40 /usr/lib/jvm/java-17-openjdk-amd64/bin/java
    -XX:TieredStopAtLevel=1
    -Dfile.encoding=UTF-8
    -Duser.country=US
    -Duser.language=en
    -Duser.variant
    -cp /home/vasi/prog/kotlin/shop_kotlin/build/classes/java/main:
        /home/vasi/prog/kotlin/shop_kotlin/build/classes/kotlin/main:
        /home/vasi/prog/kotlin/shop_kotlin/build/tmp/kapt3/classes/main:
        ...тут миллион зависимостей...
        ru.perm.v.shopkotlin.ShopKotlinApplication

Еще пример. Запущенный Jenkins:

F S UID          PID    PPID  C PRI  NI ADDR SZ WCHAN    RSS PSR STIME TTY          TIME CMD
4 S jenkins     3504       1  0  80   0 - 1710698 -    722952  0 Sep28 ?        00:05:07 /usr/bin/java
    -Djava.awt.headless=true
    -jar /usr/share/java/jenkins.war
    --webroot=/var/cache/jenkins/war
    --httpPort=8888

Это просто примеры для демонстрации получения информации о процессе. С вирусом никак не связаны, но полезны.
Полезные ключи axf команды ps для исследоваия процессов:

$ ps axf
....
   1019 ?        Ssl    0:00 /usr/sbin/NetworkManager --no-daemon
   1540 ?        Sl     0:00  \_ /usr/sbin/pppd nodetach lock nodefaultroute ipv6 , user USER plugin rp-ppp
....

В примере NetworkManager запустил pppd
Еще пример:

3192 ?        Ss     0:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
3194 ?        Ss     0:00  \_ sshd: vasi [priv]
3239 ?        S      0:00  |   \_ sshd: vasi@pts/0
3240 pts/0    Ss     0:00  |       \_ -bash
6772 pts/0    S+     0:00  |           \_ mc
6774 pts/1    Ss     0:00  |               \_ bash -rcfile .bashrc
7260 pts/1    S+     0:00  |                   \_ sudo ps axf

ssh -> mc -> bash -> sudo ps axf
Еще полезная команда для исследования pstree:

systemd─┬─ModemManager───3*[{ModemManager}]
├─NetworkManager─┬─pppd───3*[{pppd}]
│                └─3*[{NetworkManager}]
├─accounts-daemon───3*[{accounts-daemon}]

Возможно, большая нагрузка на диск связана с большим количеством логируемых событий. В моем случае, во время атаки из интернета, я включил полное логирование фаервола ufw (практически, логировались все кривые запросы). При этом логи займут значительное место на диске. Ограничить время хранения журналов можно так:

$ journalctl --vacuum-time=2d

Меню

Теги

Вход