Добрый день!

Возникла такая проблема: есть VPS сервер на debian с небольшим сайтом на борту. Также на нем установлена PostgreSQL 9.1. В базе был стандартный пользователь postgres с весьма легким паролем. Также к базе был разрешен коннект извне с любых адресов (звучит ужасно, каюсь, но изначально делалось на коленке и потом, как водится, стало лень что-то менять).

Так вот, какое-то время (судя по логам базы - не меньше недели) к БД подбирали пароль и сегодня видимо наконец подобрали. Через пару часов с помощью БД каким-то образом скачали файл, распаковали его и запустили. Я всю ситуацию заметил только из-за того, что в top процесс "./ms sss 200" под юзером postgres жрал 50% процессорного времени.

Вопрос: что я подхватил и как от этого правильно лечиться? Пока я просто вырубил процесс, выкачал инородные файлы с сервера, ну и конечно же закрыл доступ к БД и сменил пароль. Также сменил порт ssh (туда оказывается тоже давно ломятся).

Также вопрос: что вирус мог сделать с БД? И что мог сделать в целом с системой из под юзера postgres? И каким вообще образом получив доступ к БД зловредный код смог скачать файл по http и запустить его? Какая-то уязвимость в самой БД?

Melkij,
вопрос, наверное, лучше сформулировать так: как найти и вычистить все последствия этого вируса?

Я прошерстил всю домашнюю папку пользователя postgres, посмотрел файлы по времени изменения. Кажется, что ничего кроме самого архива и двух файликов (разархивированных из этого архива) закачано не было. Остальные файлы все похоже на файлы самой БД.

Также в своей БД не нашел никаких чужеродных таблиц, мои таблицы и данные не дропались, оставлены не тронутыми. Видимо рассчет был на тихую атаку, чтобы замечена она была не сразу.

Также более внимательно изучил зараженный архив - в нем два файла:
ms - ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, for GNU/Linux 2.6.32
sss - обычный plain text с более чем миллионом ip-адресов

На исполняемый файл VirusTotal никак не реагирует, но замечает, что такой же файл уже проверяли вчера (видимо не я один обнаружил атаку).

Команда запущенная из под бд выглядела так: ./ms sss 200
Похоже на какой-то сканер/спамер/взломщик, который заражает машину, загружает новую пачку адресов и начинает заражение уже с новой машины. Но как декомпилировать и посмотреть, что конкретно делает этот ms - пока не знаю.

Melkij,
mefman,
о какой системе идет речь: полная переустановка PostgreSQL, или всего Debian целиком? Я так понимаю смысл линукса (в отличие от той же винды) как раз в том, что один взломанный сервис не может загадить работу всей остальной системы, разве нет?

И еще тогда такой вопрос: если БД целиком восстановить из дампа (pg_dump), то от этого толку мало? Могли что-то засадить в базу, что этим не вылечится?