The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Поломали?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Поломали?"  +/
Сообщение от aleks (??) on 14-Дек-09, 16:59 
Доброго времени всем!
Не могу понять в чем проблема. Сервер настраивал не я, на нем крутится апач 2.2.9 и qmail, плюс разная статистика по апачу (awstats). Недавно, наткнулся на проблему, что команда ls не обрабатывает ключ -h (вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз man, она там указана, но ls ее в упор не воспринимает. Тогда решил сделать так:
$ ls -l /bin/ls
-rwxr-xr-x 1 qmaild games 39696 Oct 30  2007 /bin/ls
Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree, top аналогично.
Что это может быть? Меня хакнули? Может быть это как-то связано с qmail (я в нем полный ноль)?
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • Поломали?, vehn, 17:45 , 14-Дек-09, (1)  
  • Поломали?, shadow_alone, 19:17 , 14-Дек-09, (2)  
  • Поломали?, aleks, 22:38 , 14-Дек-09, (3)  
    • Поломали?, linuxgid, 14:05 , 17-Дек-09, (4)  

Сообщения по теме [Сортировка по времени | RSS]


1. "Поломали?"  +/
Сообщение от vehn (ok) on 14-Дек-09, 17:45 
>[оверквотинг удален]
>(вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз
>man, она там указана, но ls ее в упор не воспринимает.
>Тогда решил сделать так:
>$ ls -l /bin/ls
>-rwxr-xr-x 1 qmaild games 39696 Oct 30  2007 /bin/ls
>Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов
>в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree,
>top аналогично.
>Что это может быть? Меня хакнули? Может быть это как-то связано с
>qmail (я в нем полный ноль)?

Боюсь, что так. Проверяться rkhunter и/или chkrootkit. Можете, кстати, ещё просто попробывать просмотреть эти файлы обычным пейджером (less, more), вполне возможно, что это обычные скрипты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Поломали?"  +/
Сообщение от shadow_alone (ok) on 14-Дек-09, 19:17 
Однозначно попали, ставьте сканер

посмотрите еще вывод lsattr /bin/

если где есть sui, то это подмененные файлы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Поломали?"  +/
Сообщение от aleks (??) on 14-Дек-09, 22:38 
Да, ребятки, поломали.
Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже рут не может удалить. Я поснимал атрибуты на все эти файлы и переписал их соответствующими из пакетов. Кому интересно почитать про этот руткит, вот ссылка:
http://lists.debian.org/debian-user/2003/06/msg00788.html


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Поломали?"  +/
Сообщение от linuxgid (ok) on 17-Дек-09, 14:05 
>Да, ребятки, поломали.
>Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже
>рут не может удалить. Я поснимал атрибуты на все эти файлы
>и переписал их соответствующими из пакетов. Кому интересно почитать про этот
>руткит, вот ссылка:
>http://lists.debian.org/debian-user/2003/06/msg00788.html

Спасибо! действительно полезная информация.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру