форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Про rootkit"
Сообщение от Андрей (??) on 29-Сен-04, 11:50  (MSK)
С линуксом вроде на ты, но порой случаются досадные ляпы. Являюсь обладателем прославленного дистра RedHat 7.3 Valhalla Болшая половина программ давно обновлена. Apache старый остался, да я им не пользовался. Возникла необходимость сделать web-сервер, да не просто, а еще и https... Настроил и через пару недель меня ломанули... :(((( Да еще руткита запулили... Спасло одно, web-сервер стоит за файерволлом, на файере сделан порт-маппинг, на 80, 443 порты. SSH-демона товарищи запустить не смогли... Полазав по инету, наткунлся на это: http://www.webhostingtalk.com/showthread.php?s=0af6270f2923310b3e13815cb1f05a67&threadid=247298&perpage=15&pagenumber=1 Сделал как по писанному. Все ок. Удалил /usr/sbin/xntps - жопа, ниче не пашет... Почесав от такого удара поседевшую голову, стал разбираться. Эта штучка (или какие-то негодяи) заразили х$%#^ тучу программ. Набираем ls - segmentation fault Переустанавливаем. Если запустить любую зараженную прогу, она вновь все портит. Список зараженных файлов неизвестен, но априоре все они родные, потому как в скриптах запуска инородных файлов нигде не значится... Из рутового каталога пишем: find -mtime -1 Смотрим обновленные файлы. Переставляем... Если неясно из какого rpm файл, пишем: rpm -qf <полный путь к файлу> В конечном итоге систему я восстановил, за одним исключением. Было собственноручно собранное ядро 2.6.??? Теперь с ним не пускает - kernel panic. Какие-то опции маунта рутовой файловой системы ему не понравились. С родным ядром 2.4.18-3 - ok. Ну да ладно, как-нить разберемся... Спасибо дорогим кулхакерам за науку. Надеюсь, что не зря это чудо набивал, кому-нить сгодиться...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Про rootkit"
Сообщение от MoHaX (ok) on 29-Сен-04, 13:18  (MSK)
Была такая же беда... Аж Афигел в своё время, переставил систему... Негодяи...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Про rootkit"
	Сообщение от Konstantin (??) on 29-Сен-04, 13:27  (MSK)
	>Была такая же беда... Аж Афигел в своё время, переставил систему... Негодяи... > А почему негодяи??? Админы защищают хацкеры ломают ... Работа такая ... Небыло бы взломов и вирусов мы бы все обленились и растолстели ;-)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Про rootkit"
Сообщение от toor99 (??) on 29-Сен-04, 17:38  (MSK)
Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит, что в системе фигня творится. Стихъ в тему: "Апач в всесилии надменном Неспешно исполнял скрипты. И, не заметив перемены В скрипте, открытом для системы, Исполнил хакера мечты. Не пахла дохлая система, И не заметил сисадмин, Что под рутом не он один В систему изредка заходит..." (дальше не помню)  :-)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Про rootkit"
	Сообщение от Андрей (??) on 29-Сен-04, 17:40  (MSK)
	>Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит, >что в системе фигня творится. спасибо, я сам об этом подумывал...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Про rootkit"
	Сообщение от Arin (ok) on 29-Сен-04, 17:50  (MSK)
	>>Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит, >>что в системе фигня творится. > >спасибо, я сам об этом подумывал... есть еще rootkit hunter http://www.rootkit.nl и chkrootkit http://www.chkrootkit.com не мешает поставить по крону.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Про rootkit"
	Сообщение от Gennadi (??) on 29-Сен-04, 17:52  (MSK)
	>>Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит, >>что в системе фигня творится. > >спасибо, я сам об этом подумывал... .... а всё ж защита... http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Про rootkit"
	Сообщение от Андрей (??) on 30-Сен-04, 09:00  (MSK)
	>.... а всё ж защита... > >http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 интересная статья, но довольно спорная. требует постоянного контроля со стороны админа, что не является оптимальным решением.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Про rootkit"
	Сообщение от Gennadi (??) on 30-Сен-04, 10:34  (MSK)
	>>.... а всё ж защита... >> >>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 > >интересная статья, но довольно спорная. >требует постоянного контроля со стороны админа, что не является оптимальным решением. Да, конечно..., не является оптимальным решением. Но всё ж защита... Кстати... Антивирус тоже бессилен против нового вируса и требует постоянной корректировки ( обновления базы данных ) со стороны антивирусных компаний... Хотя конечно это из другой оперы...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Про rootkit"
	Сообщение от Andrey (??) on 11-Дек-04, 23:42  (MSK)
	Блин у самого такая фигня. Была. Проще оказалось переустановить систему чем что то лечить. Жопа полная была бы если бы не резкий скачок траффика который заставил вовремя проснутся -))) и начать искать траблу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.