OT: dziwny plik, moze włam :), a moze i nie

Pon, 12 Sty 2004, 17:34:11 CET

elou,
wiem ze to moze lamerski post, ale moze sie ktos z tym spotkal

na serwie byl odpalony serwer q3 i cs, jajo 2.4.20-9,
pewnego razu w /tmp znalazlem tajemniczy plik o nazwie k (ma juz dwa tygodnie)
:) no i nie wiem z kad sie tam wziol :)
proces tego programu wisial w pamieci i widac ze byl odpalony przez skrypt
shelowy z prawami usera na ktorym odpalony byl serwer q3,cs i nasluchiwal na
portach 27011 i jakims udp, cholera nie probowalem sie dobic na ten port, od
razu zabilem procesa.

w logach nie znalazlem dziwnych logowan (nie mam kont shellowych) lub zachowan
systemu, chyba sie nic takiego nie stalo, bo proces chodzil na prawach serwera
q3 przez ktory prawdopodobnie sie tam znalazl.

chkrootkit nic nie wykazal, chyba system nie zostal zkazony ! narazie dziala 

wynik "strace -o dupa ./k" (plik dupa po wywolaniu mial 70mb)

execve("./k", ["./k"], [/* 21 vars */]) = 0
fcntl64(0, F_GETFD)                     = 0
fcntl64(1, F_GETFD)                     = 0
fcntl64(2, F_GETFD)                     = 0
uname({sys="Linux", node="xxx", ...})   = 0
geteuid32()                             = 0
getuid32()                              = 0
getegid32()                             = 0
getgid32()                              = 0
brk(0)                                  = 0x88a3b80
brk(0x88a3ba0)                          = 0x88a3ba0
brk(0x88a4000)                          = 0x88a4000
getuid32()                              = 0
brk(0x88a6000)                          = 0x88a6000
munmap(0x88a6000, 3077939200)           = 0
brk(0x88a7000)                          = 0x88a7000
brk(0x88a8000)                          = 0x88a8000
brk(0x88a9000)                          = 0x88a9000
brk(0x88aa000)                          = 0x88aa000
brk(0x88ab000)                          = 0x88ab000
brk(0x88ac000)                          = 0x88ac000
[...]
brk(0x88048000)                         = 0x88047000
brk(0x88048000)                         = 0x88047000
brk(0x88048000)                         = 0x88047000
brk(0x88048000)                         = 0x88047000
mprotect(0xd0be2000, 4096, PROT_READ|PROT_WRITE) = -1 ENOMEM (Cannot allocate
memory)
write(2, "[-] Unable to change page protec"..., 61) = 61
write(2, "[-] Unable to exit, entering nev"..., 47) = 47
getpid()                                = 5568
kill(5568, SIGSTOP)                     = 0
--- SIGSTOP (Stopped (signal)) ---
pause()                                 = ? ERESTARTNOHAND (To be restarted)
+++ killed by SIGKILL +++ (tutaj zkilowalem proces)

dmesg:
grsec: From xx.xx.xx.xx: attempted resource overstep by requesting 2147483648
for RLIMIT_AS against limit 2147483647 by (k:5735) uid/euid:0/0 gid/egid:0/0,
parent (su:5733) uid/euid:0/0 gid/egid:0/0
grsec: more attempted resource overstepping, logging disabled for 30 seconds

--
Tomasz Buziak, pozdrawiam ... 
# cd /pub && more beer