FreeBSD: аномальная активность серверов в мир

Автор: | 11/17/2011
 

Анализ проблемы показал, что абсолютно по всем — превышение допустимого числа пакетов на порту:

~25 000 для 100 Mpbs
~125 000 для 1 Gbps

На графиках это выглядело примерно так:

Помогала только принудительная перезагрузка.

Проблема коснулась серверов с ОС FreeBSD 6.* и 7.*. Такую ситуацию вызывает файл barbut.bsd, который находится в разделе /tmp. И файл и процесс спустя какое-то время появляются вновь. Толковую информацию найти не получилось, хотя проблема явно не новая.

Проблема возникала на тех серверах, где было разрешено исполнение файлов в каталоге /tmp.

В /etc/fstab для создания при загрузке добавляем строку:

md   /tmp   mfs   rw,noexec,nosuid,-s1024m,-F/home/tmpMnt  2  0

Если на HDD есть только swap и /, то вынести /tmp в отдельный раздел можно так:

# dd if=/dev/zero of=/home/tmpMnt bs=1m count=1024
# mdmfs -F /home/tmpMnt -o rw,nosuid,noexec -s 1024m md /tmp

# df /tmp
Filesystem 1K-blocks Used  Avail   Capacity  Mounted on
/dev/md0   1012974   22    931916  0%        /tmp

Обсуждение у Лиссяры:

http://forum.lissyara.su/viewtopic.php?f=8&t=29795

Обсуждение на Bsdportal.ru:

http://www.bsdportal.ru/viewtopic.php?p=149793

UPD 1

Появились так же сообщения, что на зараженных машинах появился процесс ssh-сервера и клиента dropbear:

root dropbear 975 4 tcp4 *:3129 *:*

При этом:

Если прибиваю — вываливаются почти все программы … на /dev/null регается.
Пока закрыл файерволом …

Проверяйте /etc/rc.local на его наличие:

/usr/include/php/dropbear
/usr/include/php/dropbear

UPD 2

ClamAV реагирует на barbut.

UPD 3

Результат проверки файла barbut.bsd на Virus Total (картинка кликабельна):

UPD 4

LA во время пика активности barbut.bsd возрастает до 90.0 и более.

UPD 5

Не смог не записать для истории фразу:

«если ты на /tmp разрешишь exec — это все-равно что в душе с борисом моисеевым и элтоном джоном уронить ящик мыла»

Komintern, спасибо за тебе за хорошее настроение 🙂