forum.opennet.ru - "Как обнаружить трояна?" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как обнаружить трояна?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как обнаружить трояна?"
Сообщение от lazy (ok) on 24-Июн-08, 23:01
os: freebsd 6.3 Люди добрые, подскажите новичку: Как выловить программу (троян) которая сидит на сервере и ддосит сеть провайдера? В tcpdump видно периодически (сразу около 100 таких строк подрят): 00:53:56.177726 IP ххххххххххххх.33230 > ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 <mss 1460,nop,nop,sackOK> netstat и sockstat ничего не показывают. clamav и rootkit hunter тоже ничего ненашли. Подскажите хотябы в какую сторону капать???? Заранее спасибо!!!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Как обнаружить трояна?, Junior, 23:18 , 24-Июн-08, (1)

Как обнаружить трояна?, lazy, 00:20 , 25-Июн-08, (2)

Как обнаружить трояна?, О. Бендер, 07:18 , 25-Июн-08, (3)

Как обнаружить трояна?, vagif, 10:37 , 25-Июн-08, (4)

Как обнаружить трояна?, Andrey Mitrofanov, 10:49 , 25-Июн-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как обнаружить трояна?"

Сообщение от Junior (ok) on 24-Июн-08, 23:18

>[оверквотинг удален]
>
>В tcpdump видно периодически (сразу около 100 таких строк подрят):
>
>00:53:56.177726 IP ххххххххххххх.33230 > ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 <mss 1460,nop,nop,sackOK>
>
>netstat и sockstat ничего не показывают.
>clamav и rootkit hunter тоже ничего ненашли.
>
>Подскажите хотябы в какую сторону капать????
>Заранее спасибо!!!
chkrootkit

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как обнаружить трояна?"

Сообщение от lazy (ok) on 25-Июн-08, 00:20

>chkrootkit
он пишет:
Checking `date'... INFECTED
Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается.
как быть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как обнаружить трояна?"

Сообщение от О. Бендер on 25-Июн-08, 07:18

>>chkrootkit
>
>он пишет:
>Checking `date'... INFECTED
>
>Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается.
>
>как быть?
Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере думать, что инфицирован только один файл ..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как обнаружить трояна?"

Сообщение от vagif on 25-Июн-08, 10:37

>>он пишет:
>>Checking `date'... INFECTED
>>
>Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере
>думать, что инфицирован только один файл ..
а как он вообще на сервер может попасть?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как обнаружить трояна?"

Сообщение от Andrey Mitrofanov on 25-Июн-08, 10:49

>а как он вообще на сервер может попасть?!
В. Деревянной. Лошади. $)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как обнаружить трояна?"
Сообщение от Junior (ok) on 24-Июн-08, 23:18
>[оверквотинг удален] > >В tcpdump видно периодически (сразу около 100 таких строк подрят): > >00:53:56.177726 IP ххххххххххххх.33230 > ххххххххххххххх.ms-sql-s: S 4052544520:4052544520(0) win 64240 <mss 1460,nop,nop,sackOK> > >netstat и sockstat ничего не показывают. >clamav и rootkit hunter тоже ничего ненашли. > >Подскажите хотябы в какую сторону капать???? >Заранее спасибо!!! chkrootkit
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Как обнаружить трояна?"
	Сообщение от lazy (ok) on 25-Июн-08, 00:20
	>chkrootkit он пишет: Checking `date'... INFECTED Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается. как быть?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Как обнаружить трояна?"
	Сообщение от О. Бендер on 25-Июн-08, 07:18
	>>chkrootkit > >он пишет: >Checking `date'... INFECTED > >Заменяю его оригинальным файлом (/bin/date), а он на него всё равно ругается. > >как быть? Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере думать, что инфицирован только один файл ..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Как обнаружить трояна?"
	Сообщение от vagif on 25-Июн-08, 10:37
	>>он пишет: >>Checking `date'... INFECTED >> >Переустанавливать(восстанавливать) систему. Надо быть очень наивным, чтобы после обнаружения трояна на сервере >думать, что инфицирован только один файл .. а как он вообще на сервер может попасть?!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Как обнаружить трояна?"
	Сообщение от Andrey Mitrofanov on 25-Июн-08, 10:49
	>а как он вообще на сервер может попасть?! В. Деревянной. Лошади. $)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]