forum.opennet.ru

Составление сообщения

Исходное сообщение

"вирус ninjavirus"
Отправлено demon.molo, 16-Мрт-13 20:21

Здравствуйте.
В результате взлома сайта в корне веб-сервера появились файлы nv.php и nv.txt, в файле nv.txt записана фраза ninja virus. ps выдает с десяток процессов апача, работающих под рутом, хотя в конфиге указан пользователь www-data
rkhunter при проверке сыпет такого рода сообщения:
   Checking /dev for suspicious file types         [ None found ]
   Checking for hidden files and directories       [ Warning ]
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.udev
Warning: Hidden file found: /dev/.blkid.tab: ASCII text
Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
   /sbin/runlevel                                  [ Warning ]
Warning: The file properties have changed:
          File: /sbin/runlevel
          Current inode: 6160532    Stored inode: 6160555
          Current file modification time: 1358525291 (18-янв.-2013 19:08:11)
          Stored file modification time : 1335453980 (26-апр.-2012 18:26:20)
   /sbin/init                                      [ Warning ]
Warning: The file properties have changed:
          File: /sbin/init
          Current hash: f98af87321ed9f4043b9b8bc84f4f101dfe84b15
          Stored hash : 4dab14f8c22b62ce0d641a45f51262e153c5a849
          Current inode: 6160514    Stored inode: 6160551
          Current size: 167192    Stored size: 163096
          Current file modification time: 1358525291 (18-янв.-2013 19:08:11)
          Stored file modification time : 1335453980 (26-апр.-2012 18:26:20)
Warning: The file properties have changed:
          File: /usr/bin/who
          Current inode: 28051920    Stored inode: 28061778
          Current file modification time: 1353363916 (20-нояб.-2012 01:25:16)
          Stored file modification time : 1349148219 (02-окт.-2012 06:23:39)

а chkrootkit выдает следующее:
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED
uname -a:
Linux xxx.yyy 3.2.0-33-generic #52-Ubuntu SMP Thu Oct 18 16:29:15 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
Подскажите, можно ли очистить систему, или нужна полная переустановка? никогда раньше с таким не сталкивался

Исходное сообщение
"вирус ninjavirus" Отправлено demon.molo, 16-Мрт-13 20:21
Здравствуйте. В результате взлома сайта в корне веб-сервера появились файлы nv.php и nv.txt, в файле nv.txt записана фраза ninja virus. ps выдает с десяток процессов апача, работающих под рутом, хотя в конфиге указан пользователь www-data rkhunter при проверке сыпет такого рода сообщения: Checking /dev for suspicious file types [ None found ] Checking for hidden files and directories [ Warning ] Warning: Hidden directory found: /etc/.java Warning: Hidden directory found: /dev/.udev Warning: Hidden file found: /dev/.blkid.tab: ASCII text Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs' /sbin/runlevel [ Warning ] Warning: The file properties have changed: File: /sbin/runlevel Current inode: 6160532 Stored inode: 6160555 Current file modification time: 1358525291 (18-янв.-2013 19:08:11) Stored file modification time : 1335453980 (26-апр.-2012 18:26:20) /sbin/init [ Warning ] Warning: The file properties have changed: File: /sbin/init Current hash: f98af87321ed9f4043b9b8bc84f4f101dfe84b15 Stored hash : 4dab14f8c22b62ce0d641a45f51262e153c5a849 Current inode: 6160514 Stored inode: 6160551 Current size: 167192 Stored size: 163096 Current file modification time: 1358525291 (18-янв.-2013 19:08:11) Stored file modification time : 1335453980 (26-апр.-2012 18:26:20) Warning: The file properties have changed: File: /usr/bin/who Current inode: 28051920 Stored inode: 28061778 Current file modification time: 1353363916 (20-нояб.-2012 01:25:16) Stored file modification time : 1349148219 (02-окт.-2012 06:23:39) а chkrootkit выдает следующее: Searching for Suckit rootkit... Warning: /sbin/init INFECTED uname -a: Linux xxx.yyy 3.2.0-33-generic #52-Ubuntu SMP Thu Oct 18 16:29:15 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux Подскажите, можно ли очистить систему, или нужна полная переустановка? никогда раньше с таким не сталкивался

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Здравствуйте.
> В результате взлома сайта в корне веб-сервера появились файлы nv.php и nv.txt, 
> в файле nv.txt записана фраза ninja virus. ps выдает с десяток 
> процессов апача, работающих под рутом, хотя в конфиге указан пользователь www-data 
 
> rkhunter при проверке сыпет такого рода сообщения:

>    Checking /dev for suspicious file types    
>      [ None found ] 
>    Checking for hidden files and directories    
>    [ Warning ] 
>  Warning: Hidden directory found: /etc/.java 
>  Warning: Hidden directory found: /dev/.udev 
>  Warning: Hidden file found: /dev/.blkid.tab: ASCII text 
>  Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text 
>  Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

>    /sbin/runlevel         
>            
>            
>    [ Warning ] 
>  Warning: The file properties have changed: 
>           File: /sbin/runlevel 
 
>           Current inode: 
> 6160532    Stored inode: 6160555 
>           Current file 
> modification time: 1358525291 (18-янв.-2013 19:08:11) 
>           Stored file 
> modification time : 1335453980 (26-апр.-2012 18:26:20)

>    /sbin/init         
>            
>            
>        [ Warning ] 
>  Warning: The file properties have changed: 
>           File: /sbin/init 
 
>           Current hash: 
> f98af87321ed9f4043b9b8bc84f4f101dfe84b15 
>           Stored hash 
> : 4dab14f8c22b62ce0d641a45f51262e153c5a849 
>           Current inode: 
> 6160514    Stored inode: 6160551 
>           Current size: 
> 167192    Stored size: 163096 
>           Current file 
> modification time: 1358525291 (18-янв.-2013 19:08:11) 
>           Stored file 
> modification time : 1335453980 (26-апр.-2012 18:26:20)

>  Warning: The file properties have changed: 
>           File: /usr/bin/who 
 
>           Current inode: 
> 28051920    Stored inode: 28061778 
>           Current file 
> modification time: 1353363916 (20-нояб.-2012 01:25:16) 
>           Stored file 
> modification time : 1349148219 (02-окт.-2012 06:23:39)

> а chkrootkit выдает следующее: 
> Searching for Suckit rootkit...         
>            
>          Warning: /sbin/init 
> INFECTED

> uname -a: 
> Linux xxx.yyy 3.2.0-33-generic #52-Ubuntu SMP Thu Oct 18 16:29:15 UTC 2012 x86_64 
> x86_64 x86_64 GNU/Linux

> Подскажите, можно ли очистить систему, или нужна полная переустановка? никогда раньше с 
> таким не сталкивался

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру