URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 34855
[ Назад ]

Исходное сообщение
"РУТКИТ?"
Отправлено help , 18-Сен-03 13:09

Запустил chkrootkit, выдало
Checking `chfn'... INFECTED
Checking `chsh'... INFECTED
Checking `cron'... not infected
Checking `date'... INFECTED
Checking `ls'... INFECTED
Checking `ps'... INFECTED
Остальное ок, как бороться?

Содержание

РУТКИТ?,open, 13:35 , 18-Сен-03
- РУТКИТ?,us.master, 13:38 , 18-Сен-03
  - РУТКИТ?,help, 14:15 , 18-Сен-03
- РУТКИТ?,help, 14:08 , 18-Сен-03
  - РУТКИТ?,dawnshade, 14:20 , 18-Сен-03
    - РУТКИТ?,help, 14:22 , 18-Сен-03
      - РУТКИТ?,dawnshade, 14:51 , 18-Сен-03
        
        РУТКИТ?,help, 15:02 , 18-Сен-03
        
        РУТКИТ?,dawnshade, 15:19 , 18-Сен-03
        
        РУТКИТ?,help, 15:42 , 18-Сен-03
        
        РУТКИТ?,dawnshade, 15:47 , 18-Сен-03
        
        РУТКИТ?,dawnshade, 15:56 , 18-Сен-03
        
        РУТКИТ?,dawnshade, 09:29 , 19-Сен-03
        
        РУТКИТ?,help, 19:02 , 19-Сен-03

Сообщения в этом обсуждении

"РУТКИТ?"
Отправлено open , 18-Сен-03 13:35

поставить такую же ось на какой нить комп
затарить на нем /bin /sbin /usr/bin /usr/sbin
и распаковать поверх существующих на инфицированном компе
и оперативно убить непонятных демонов, просмотреть стартовые скрипты на предмет запуска позрительного....
>Запустил chkrootkit, выдало
>Checking `chfn'... INFECTED
>Checking `chsh'... INFECTED
>Checking `cron'... not infected
>Checking `date'... INFECTED
>Checking `ls'... INFECTED
>Checking `ps'... INFECTED
>Остальное ок, как бороться?

"РУТКИТ?"
Отправлено us.master , 18-Сен-03 13:38

Если chkrootkit пускаешь в первый день после
установки системы, он это всегда выдаёт.
Журналов изменений-то нет ещё...

"РУТКИТ?"
Отправлено help , 18-Сен-03 14:15

>Если chkrootkit пускаешь в первый день после
>установки системы, он это всегда выдаёт.
>Журналов изменений-то нет ещё...
системе несколько недель, chkrootkit-у несколько часов

"РУТКИТ?"
Отправлено help , 18-Сен-03 14:08

Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада?
Непонятных демонов не нашлось...

"РУТКИТ?"
Отправлено dawnshade , 18-Сен-03 14:20

>Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада?
>
>Непонятных демонов не нашлось...
Система, версия?
Если фря 5,1 - тода ртфм.

"РУТКИТ?"
Отправлено help , 18-Сен-03 14:22

4.8

"РУТКИТ?"
Отправлено dawnshade , 18-Сен-03 14:51

>4.8

А версия руткита кака?

"РУТКИТ?"
Отправлено help , 18-Сен-03 15:02

>>4.8
>
>
>А версия руткита кака?
chkrootkit-0.41 сегодня из обновленных портов ставил

"РУТКИТ?"
Отправлено dawnshade , 18-Сен-03 15:19

>>>4.8
>>
>>
>>А версия руткита кака?
>
>chkrootkit-0.41 сегодня из обновленных портов ставил

Хм. на сайте лежит 0,42

"РУТКИТ?"
Отправлено help , 18-Сен-03 15:42

аналогично, но cvsup тянет порт для 0.41
0.42 не собрался
как быть?

"РУТКИТ?"
Отправлено dawnshade , 18-Сен-03 15:47

>аналогично, но cvsup тянет порт для 0.41
>0.42 не собрался
>как быть?
Тогда еще вариант загрузиться с liveCD и проверить.

"РУТКИТ?"
Отправлено dawnshade , 18-Сен-03 15:56

>>аналогично, но cvsup тянет порт для 0.41
>>0.42 не собрался
>>как быть?
>
>Тогда еще вариант загрузиться с liveCD и проверить.
И внимательно посмотреть truss на зараженные (якобы) файлы.

"РУТКИТ?"
Отправлено dawnshade , 19-Сен-03 09:29

>>>аналогично, но cvsup тянет порт для 0.41
>>>0.42 не собрался
>>>как быть?
>>
>>Тогда еще вариант загрузиться с liveCD и проверить.
>
>И внимательно посмотреть truss на зараженные (якобы) файлы.

И чо в итоге вышло?

"РУТКИТ?"
Отправлено help , 19-Сен-03 19:02

>И чо в итоге вышло?
пока забил...
Вероятность что взломали мала - файрвол настроен на доступ только с пары сеток. truss смотрел ничего подозрительного.
Спасибо за советы!