The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"LKM-rootkit in FreeBSD"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"LKM-rootkit in FreeBSD"
Сообщение от .zZz. emailИскать по авторуВ закладки on 15-Мрт-04, 17:49  (MSK)
Господа, какие посоветуете шаги при обнаружении сабжа?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "LKM-rootkit in FreeBSD"
Сообщение от .zZz. emailИскать по авторуВ закладки on 16-Мрт-04, 10:48  (MSK)
>Господа, какие посоветуете шаги при обнаружении сабжа?
Уточнения: серверок стоит очень далеко. nmap'ом увидел открытый 995 порт.
Подозреваю, что хакнули через второй апач.
Всё, что работает с памятью выдаёт
su-2.05b# top
kvm_open: proc size mismatch (53200 total, 1060 chunks)
top: Out of memory.

Что вообще делают в таких случаях?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "LKM-rootkit in FreeBSD"
Сообщение от edwin Искать по авторуВ закладки on 16-Мрт-04, 15:07  (MSK)
>Подозреваю, что хакнули через второй апач.
>Всё, что работает с памятью выдаёт
1) Необходимо получить физ.доступ к консоли сервера
2) Отключить его от сети .
3) убить все задания at и сron (что бы сервак не гепнули)
4) Зарезверовать все данные .
5) Переустановить ОС на самую последнюю стабильную версию .
6) Поставить и настроить самуй последний софт (у меня например стоит apache 2.0.48).
7) Восстановить файлы user'ов (Не конфиги).
8) Изучить списки рассылок по дырам и изучить их а также сохранённые данные из взломаной системы.
9) При необходимости выявленые материалы передаються соот. органам.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "LKM-rootkit in FreeBSD"
Сообщение от .zZz. emailИскать по авторуВ закладки on 16-Мрт-04, 15:47  (MSK)
>>Подозреваю, что хакнули через второй апач.
>>Всё, что работает с памятью выдаёт
>1) Необходимо получить физ.доступ к консоли сервера
>2) Отключить его от сети .
>3) убить все задания at и сron (что бы сервак не гепнули)
>
>4) Зарезверовать все данные .
>5) Переустановить ОС на самую последнюю стабильную версию .
>6) Поставить и настроить самуй последний софт (у меня например стоит apache
>2.0.48).
>7) Восстановить файлы user'ов (Не конфиги).
>8) Изучить списки рассылок по дырам и изучить их а также сохранённые
>данные из взломаной системы.
>9) При необходимости выявленые материалы передаються соот. органам.
Всё бы так и было, если бы он был доступен...
А по устранению и выявлению самого модуля может кто подскажет?

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру