17 Ноя 11 FreeBSD: аномальная активность серверов в мир

30.10.2011, в 5:50 утра, была замечена аномальная активность серверов в мир. Анализ проблемы показал, что абсолютно по всем — превышение допустимого числа пакетов на порту:

~25 000 для 100 Mpbs
~125 000 для 1 Gbps

На графиках это выглядело примерно так:

Помогала только принудительная перезагрузка.

Было обнаружено, что на всех серверах, для которых имеет место такая проблема, установлена ОС FreeBSD 6.* и 7.*. Такую ситуацию вызывает файл barbut.bsd, который находится в разделе /tmp. И файл и процесс спустя какое-то время появляются вновь. Толковую информацию найти не получилось, хотя проблема явно не новая. Есть подозрение, что используется какая-то уязвимость веб-сервера Apache — но пока это ничем не подтвержденные догадки.
Проблема возникала на тех серверах, где было разрешено исполнение файлов в каталоге /tmp.
В /etc/fstab для создания при загрузке добавляем строку:

md /tmp mfs rw,noexec,nosuid,-s1024m,-F/home/tmpMnt 2 0

Если на HDD есть только swap и корень, то вынести /tmp в
отдельный раздел можно, например, так:

# dd if=/dev/zero of=/home/tmpMnt bs=1m count=1024 # mdmfs -F /home/tmpMnt -o rw,nosuid,noexec -s 1024m md /tmp

# df /tmp Filesystem 1K-blocks Used Avail Capacity Mounted on /dev/md0 1012974 22 931916 0% /tmp

Обсуждение у Лиссяры:
http://forum.lissyara.su/viewtopic.php?f=8&t=29795

Обсуждение на Bsdportal.ru:
http://www.bsdportal.ru/viewtopic.php?p=149793

UPD 1

Появились так же сообщения, что на зараженных машинах появился процесс ssh-сервера и клиента dropbear: