sherwood Опубликовано 1 июня, 2018 · Жалоба Неделю назад zabbix стал грузить проц: Настроек ни каких не делал, место на диске достаточно. Убьешь пару самых больших процессов и примерно на час помогает потом снова. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 1 июня, 2018 · Жалоба Ограничьте опросы. Заббикс затыкается на нехватке CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 1 июня, 2018 (изменено) · Жалоба Извиняюсь, а это точно заббикс или кто-то под его учёткой? На майнер похоже. Изменено 1 июня, 2018 пользователем Kolunchik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 1 июня, 2018 · Жалоба 37 минут назад, vlad11 сказал: Ограничьте опросы. Заббикс затыкается на нехватке CPU. Имеется ввиду пингом устройства? Стояла минута, поставил 3. Устройств не прибавилось, до этого все работало. 19 минут назад, Kolunchik сказал: Извиняюсь, а это точно заббикс или кто-то под его учёткой? На майнер похоже. Еще бы знать как это проверить. Если это оно, то who показывает одного пользователя в системе и это не zabbix. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 1 июня, 2018 · Жалоба Так посмотрите, что это запущено и откуда (там в начале вроде /tmp/ видно). Посмотрите /proc/<pid>/cmdline. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 1 июня, 2018 · Жалоба А у вас забикс в мир открыт ? (ну, своя, забиксная, авторизация внезапно может оказать не проблемой для сильно желающих попасть в вашу систему...) Ну как минимум посмотреть время появления процесса и поискать входы в это время в логах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 1 июня, 2018 · Жалоба Пишите тогда сразу и версию Забикса и окружения, для истории. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 1 июня, 2018 · Жалоба 23 минуты назад, st_re сказал: А у вас забикс в мир открыт ? (ну, своя, забиксная, авторизация внезапно может оказать не проблемой для сильно желающих попасть в вашу систему...) Доступ в мир ему открыт, но он за натом, ни какие порты на него не прокинуты. Попробовать отключить мир? 26 минут назад, st_re сказал: Ну как минимум посмотреть время появления процесса и поискать входы в это время в логах Наверное who какие пользователи в системе? Там один я. Я так думаю :) 47 минут назад, Kolunchik сказал: Так посмотрите, что это запущено и откуда (там в начале вроде /tmp/ видно). Да бывает так, а бывает и так: Посмотрел в каталоге tmp, там только эти файлы, а в них по несколько строчек в которых ip коммутаторов пингует zabbix. И там всего несколько файлов в которых по паре строчек, а устройств куда больше, не понятно зачем эти файлы записал zabbix: 34 минуты назад, Kolunchik сказал: Пишите тогда сразу и версию Забикса и окружения, для истории. zabbix 3.0.17 стоит изначально он, не обновлялся, как поставил, настроил, так и работал. Окружение это что? zabbix пингует примерно 50 устройств, к десятку рисует графики ну все наверное. Это так было изначально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 2 июня, 2018 · Жалоба Под окружением подразумевалась операционка, апач и т.п. Я бы посоветовал просто сделать копию БД заббикса и развернуться заново. https://turngren.net/index.php/linux-and-the-monero-miner-malware/ https://serverfault.com/questions/890759/what-does-the-muhsti-command-mean-or-do Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 2 июня, 2018 · Жалоба Вас похакали) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 2 июня, 2018 · Жалоба 1 час назад, Kolunchik сказал: Под окружением подразумевалась операционка, апач и т.п. Понятно, ubuntu 14.04.5LTS Apache 2.4.7 1 час назад, Kolunchik сказал: Я бы посоветовал просто сделать копию БД заббикса и развернуться заново. Этого достаточно, для переустановки? То есть шаблоны, узлы сети после переустановки из базы подтянутся? 49 минут назад, zhenya` сказал: Вас похакали) Че, круто. Это реально? Сервер за натом, из мира к нему доступа нет. На нем еще пара систем крутится, syslog и т.д. Так сказать физически за ним ни кто не работает, стоит себе шуршит по маленьку. Или это скорее всего в zabbix дыра и через нее пролезло? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 2 июня, 2018 (изменено) · Жалоба >> Этого достаточно, для переустановки? То есть шаблоны, узлы сети после переустановки из базы подтянутся? Да, он всё в базе хранит. Если есть какие-то юзерскрипты для уведомлений или проверок - обязательно проверьте их сперва и только потом уже тоже в резервную копию. И как обычно - посмотрите, когда майнер активизировался и смотрите все логи перед этим, может чего бросится в глаза. Хотя они не сразу активизируются обычно. Изменено 2 июня, 2018 пользователем Kolunchik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 июня, 2018 · Жалоба 1 час назад, sherwood сказал: Или это скорее всего в zabbix дыра и через нее пролезло? Или живность в вашей сети и пролезло изнутри. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 2 июня, 2018 · Жалоба Можно к нагружающему CPU процессу на несколько секунд подключиться strace'ом и посмотреть, чем он занят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 3 июня, 2018 · Жалоба Извиняюсь, это действительно взлом. Monero Miner Malware – Muhsti P.S. Извините, здесь на форуме не работает сброс форматирования текста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 3 июня, 2018 · Жалоба 10 часов назад, Ilya Evseev сказал: Можно к нагружающему CPU процессу на несколько секунд подключиться strace'ом и посмотреть, чем он занят. Наверное можно, но я пока не очень в этом силен. 5 часов назад, vlad11 сказал: Извиняюсь, это действительно взлом. Круто. И этот ПК не открыт в мир. Не особе верится, что в локальной сети кто то мог этим заниматься. А если это прилетело с зараженного ПК то на сколько мне известно в сети нет машин по линуксом, хотя наверное это не важно. Как то думалось, что этого не будет (не винда же) так как на этом ПК не работают, то есть не серфят инет, не качают разные файлы. На нем правда стоит еще видео-каталог на который по веб заходят из локалки и скачивают контент. Ну ладно, пробую пока на виртуалку поставить и имортировать базу, но что то не совсем проходит гладко, а именно файл базы получается примерно 2ГБ, файл php.ini я поправил. При импорте примерно минут 5 - предупреждение об остановки по тайм-ауту но можно продолжить импорт выбрав тот же файл. После нескольких попыток сообщение не пропадает, но вроде все таблицы импортировались. Пробую зайти по веб, открывается окно приветствия zabbix но при вводе учетных данных ошибка - не верный логин или пароль. Пробовал учетные данные и он новой и от старой учетки, так же и данные по умолчанию. Думаю перенести данные экспортом из зараженного zabbix в новый, узлов не так много. Потом буду удалять zabbix на зараженном ПК. Хотелось бы верить что он только файлы zabbix заразил, а не других сервисов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 3 июня, 2018 · Жалоба он систему покоцал. причем залез вероятно через дырку в заббикс web. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 3 июня, 2018 · Жалоба 1 час назад, sherwood сказал: Не особе верится, что в локальной сети кто то мог этим заниматься. Вы последние 10 лет в гибернации были? Технологии и подходы не стоят на месте, они развиваются. Проникновение в лоб через файрвол сейчас возможно только если файрвол забыли включить или правильно настроить — это как бы очевидная мысль. И столь же очевиден вывод — вредоносное ПО будет распространятся через промежуточных носителей в виде офисных десктопов или смартфонов, на которых оно себя может никак не проявлять. И такой подход используется уже не первый год. А уж после недавних эпидемий с заражением роутеров изнутри это просто всем должно быть очевидно. P.S. Проверяйте свою сеть. У вас за периметром живность завелась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 5 июня, 2018 (изменено) · Жалоба Да, есть такая дырка в забиксе - хакается легко и просто через веб. Идет подмена в настройках через веб на путь к ping (в него ставится curl на скачку и выполнение). Залезает через клиента на винде который имеет доступ к настройкам заббикса Изменено 5 июня, 2018 пользователем alexmern Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 5 июня, 2018 · Жалоба 7 часов назад, alexmern сказал: Залезает через клиента на винде который имеет доступ к настройкам заббикса Интересненко. На вин 7 с которого и происходит заход стоит касперский тотал, со всеми обновлениями, доступ к этому ПК имею только я. Другие ПК в сети думаю и не знают о существование данного ресурса. Но даже если предположить что кто то узнал, то доступа нет, пароль стойкий к взлому. Буду удалять zabbix с этой машины (главное что бы этот вирь не затронул другие сервисы). На этом ПК стоит vnc server (удаленный доступ), но там длинный и сложный пароль, изменен стандартный порт. Есть ли случаи взлома vnc? P.S. Без доступа в мир эта зараза не активна. Похоже на бота для зарабатывания криптовалют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 5 июня, 2018 · Жалоба Отсчет: Остановил сервис, удалил zabbix, базу. Процес попрежнему появляется, удалил пользователя zabbix и все затихло. Полез ручками посмотреть какие остались хвосты и вижу эту заразу: Может кому будет полезным. Думаю если сразу знать где лежит то и вылечить было бы просто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...