Запустил chkrootkit, выдало
Checking `chfn'... INFECTED
Checking `chsh'... INFECTED
Checking `cron'... not infected
Checking `date'... INFECTED
Checking `ls'... INFECTED
Checking `ps'... INFECTED
Остальное ок, как бороться?
поставить такую же ось на какой нить комп
затарить на нем /bin /sbin /usr/bin /usr/sbinи распаковать поверх существующих на инфицированном компе
и оперативно убить непонятных демонов, просмотреть стартовые скрипты на предмет запуска позрительного....>Запустил chkrootkit, выдало
>Checking `chfn'... INFECTED
>Checking `chsh'... INFECTED
>Checking `cron'... not infected
>Checking `date'... INFECTED
>Checking `ls'... INFECTED
>Checking `ps'... INFECTED
>Остальное ок, как бороться?
Если chkrootkit пускаешь в первый день после
установки системы, он это всегда выдаёт.
Журналов изменений-то нет ещё...
>Если chkrootkit пускаешь в первый день после
>установки системы, он это всегда выдаёт.
>Журналов изменений-то нет ещё...системе несколько недель, chkrootkit-у несколько часов
Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада?
Непонятных демонов не нашлось...
>Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада?
>
>Непонятных демонов не нашлось...Система, версия?
Если фря 5,1 - тода ртфм.
4.8
>4.8
А версия руткита кака?
>>4.8
>
>
>А версия руткита кака?chkrootkit-0.41 сегодня из обновленных портов ставил
>>>4.8
>>
>>
>>А версия руткита кака?
>
>chkrootkit-0.41 сегодня из обновленных портов ставил
Хм. на сайте лежит 0,42
аналогично, но cvsup тянет порт для 0.41
0.42 не собрался
как быть?
>аналогично, но cvsup тянет порт для 0.41
>0.42 не собрался
>как быть?Тогда еще вариант загрузиться с liveCD и проверить.
>>аналогично, но cvsup тянет порт для 0.41
>>0.42 не собрался
>>как быть?
>
>Тогда еще вариант загрузиться с liveCD и проверить.И внимательно посмотреть truss на зараженные (якобы) файлы.
>>>аналогично, но cvsup тянет порт для 0.41
>>>0.42 не собрался
>>>как быть?
>>
>>Тогда еще вариант загрузиться с liveCD и проверить.
>
>И внимательно посмотреть truss на зараженные (якобы) файлы.
И чо в итоге вышло?
>И чо в итоге вышло?пока забил...
Вероятность что взломали мала - файрвол настроен на доступ только с пары сеток. truss смотрел ничего подозрительного.
Спасибо за советы!