Анализ проблемы показал, что абсолютно по всем – превышение допустимого числа пакетов на порту:
~25 000 для 100 Mpbs
~125 000 для 1 Gbps
На графиках это выглядело примерно так:
Помогала только принудительная перезагрузка.
Проблема коснулась серверов с ОС FreeBSD 6.* и 7.*. Такую ситуацию вызывает файл barbut.bsd, который находится в разделе /tmp. И файл и процесс спустя какое-то время появляются вновь. Толковую информацию найти не получилось, хотя проблема явно не новая.
Проблема возникала на тех серверах, где было разрешено исполнение файлов в каталоге /tmp.
В /etc/fstab для создания при загрузке добавляем строку:
md /tmp mfs rw,noexec,nosuid,-s1024m,-F/home/tmpMnt 2 0
Если на HDD есть только swap и /, то вынести /tmp в отдельный раздел можно так:
# dd if=/dev/zero of=/home/tmpMnt bs=1m count=1024
# mdmfs -F /home/tmpMnt -o rw,nosuid,noexec -s 1024m md /tmp
# df /tmp
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md0 1012974 22 931916 0% /tmp
Обсуждение у Лиссяры:
http://forum.lissyara.su/viewtopic.php?f=8&t=29795
Обсуждение на Bsdportal.ru:
http://www.bsdportal.ru/viewtopic.php?p=149793
UPD 1
Появились так же сообщения, что на зараженных машинах появился процесс ssh-сервера и клиента dropbear:
root dropbear 975 4 tcp4 *:3129 *:*
При этом:
Если прибиваю – вываливаются почти все программы … на /dev/null регается.
Пока закрыл файерволом …
Проверяйте /etc/rc.local на его наличие:
/usr/include/php/dropbear
/usr/include/php/dropbear
UPD 2
ClamAV реагирует на barbut.
UPD 3
Результат проверки файла barbut.bsd на Virus Total (картинка кликабельна):
LA во время пика активности barbut.bsd возрастает до 90.0 и более.
UPD 5
Не смог не записать для истории фразу:
“если ты на /tmp разрешишь exec – это все-равно что в душе с борисом моисеевым и элтоном джоном уронить ящик мыла”
Komintern, спасибо за тебе за хорошее настроение 🙂