Re: [Linux-31] linux malware

Subject: Re: [Linux-31] linux malware

From: g hillartin <hillartin@gmail.com>

Date: Wed, 3 Mar 2021 08:09:45 +0100

Authentication-results: pic2s.le-pic.org; dkim=pass (2048-bit key; unprotected) header.d=gmail.com header.i=@gmail.com header.b="tBnTUige"; dkim-atps=neutral

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=mime-version:references:in-reply-to:from:date:message-id:subject:to; bh=2qPcTwLyWSVrZt4b/4nNZLZQlzzDgkMJbiitJGgI+Zw=; b=tBnTUigezwcG/V1i6/c5iPZUq8qfg6GypVBTmSlMvJwhuxzx+dp6fwvzxl+VAxA8vf f8RL5a4/ZQW6MLvmB8txu1N09Pq4Iw/B2VllaRGaIHja3kaNySuQ3j9WNYFFPXr22i3V Qd5lwJ+i8p0JbBOFCqQbBAoJOgXC2qK+GQePMAKhzbj78hunBJ7HrPDCha76m9uHrft5 Wpz8rLdDJdPZqHiraANUnRyFFUOe1vX/Y8/5QWd0ETT23ctQ9fVjMVp3itvAHV50qcz8 8/zdKa+/MvG+NLaXxyTAOg0w4FLRfWjqP9CboV/luDY/7XiVj/X5OZVDMhMt7xZltLWr hnpA==

In-reply-to: <e4322cd0-ea20-b6c0-f617-77b999bbad32@free.fr>

References: <da89fb38-e44e-7d61-0587-d82e09535783@dodin.org> <261d65b6-5a19-4c73-f08f-4ecfdbcdbb87@plouf.fr.eu.org> <b2436a87-695a-4647-4f9a-76246773cdde@free.fr> <36e62e82-9242-4d97-5c15-da339bb50a3c@plouf.fr.eu.org> <e4322cd0-ea20-b6c0-f617-77b999bbad32@free.fr>

Le mer. 3 mars 2021 à 07:41, jdanield <linux-31@culte.org> a écrit :

Le 02/03/2021 à 23:05, Pascal Hambourg (via linux-31 Mailing List) a écrit :

> En quoi est-ce contradictoire avec ce que j'ai écrit ? Au contraire,
> c'est donc plus logique que le fichier soit dans ~test (répertoire
> personnel de l'utilisateur "test") plutôt que dans ~/test
> (sous-répertoire "test" dans le répertoire personnel de l'utilisateur
> courant).
>

tu as raison...

le détail du problème:

They guessed the password for user "test" and logged in via ssh, after
multiple attempts (dictionary attack, probably). The user "test" was
configured in the system long ago, and forgotten.

They copied executable malware to "/home/test/.dhpcd" and added a cronjob:

2 * * * * /home/test/.dhpcd -o ca.minexmr.com:4444 -B \
>/dev/null 2>/dev/null

jdd
--

Y'a pas écrit .dhPCd là ?

Follow-Ups:

Re: [Linux-31] linux malware
- From: jdanield <jdanield@free.fr>

References:

[Linux-31] linux malware
- From: "jdd@dodin.org" <jdd@dodin.org>
Re: [Linux-31] linux malware
- From: Pascal Hambourg <pascal@plouf.fr.eu.org>
Re: [Linux-31] linux malware
- From: jdanield <jdanield@free.fr>
Re: [Linux-31] linux malware
- From: Pascal Hambourg <pascal@plouf.fr.eu.org>
Re: [Linux-31] linux malware
- From: jdanield <jdanield@free.fr>