forum.opennet.ru - "Поломали?" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Поломали?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Поломали?"		+/–
Сообщение от aleks (??) on 14-Дек-09, 16:59
Доброго времени всем! Не могу понять в чем проблема. Сервер настраивал не я, на нем крутится апач 2.2.9 и qmail, плюс разная статистика по апачу (awstats). Недавно, наткнулся на проблему, что команда ls не обрабатывает ключ -h (вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз man, она там указана, но ls ее в упор не воспринимает. Тогда решил сделать так: $ ls -l /bin/ls -rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree, top аналогично. Что это может быть? Меня хакнули? Может быть это как-то связано с qmail (я в нем полный ноль)?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Поломали?, vehn, 17:45 , 14-Дек-09, (1)
Поломали?, shadow_alone, 19:17 , 14-Дек-09, (2)
Поломали?, aleks, 22:38 , 14-Дек-09, (3)

Поломали?, linuxgid, 14:05 , 17-Дек-09, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Поломали?" +/–

Сообщение от vehn (ok) on 14-Дек-09, 17:45

>[оверквотинг удален]
>(вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз
>man, она там указана, но ls ее в упор не воспринимает.
>Тогда решил сделать так:
>$ ls -l /bin/ls
>-rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls
>Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов
>в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree,
>top аналогично.
>Что это может быть? Меня хакнули? Может быть это как-то связано с
>qmail (я в нем полный ноль)?
Боюсь, что так. Проверяться rkhunter и/или chkrootkit. Можете, кстати, ещё просто попробывать просмотреть эти файлы обычным пейджером (less, more), вполне возможно, что это обычные скрипты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Поломали?" +/–

Сообщение от shadow_alone (ok) on 14-Дек-09, 19:17

Однозначно попали, ставьте сканер
посмотрите еще вывод lsattr /bin/
если где есть sui, то это подмененные файлы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Поломали?" +/–

Сообщение от aleks (??) on 14-Дек-09, 22:38

Да, ребятки, поломали.
Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже рут не может удалить. Я поснимал атрибуты на все эти файлы и переписал их соответствующими из пакетов. Кому интересно почитать про этот руткит, вот ссылка:
http://lists.debian.org/debian-user/2003/06/msg00788.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Поломали?" +/–

Сообщение от linuxgid (ok) on 17-Дек-09, 14:05

>Да, ребятки, поломали.
>Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже
>рут не может удалить. Я поснимал атрибуты на все эти файлы
>и переписал их соответствующими из пакетов. Кому интересно почитать про этот
>руткит, вот ссылка:
>http://lists.debian.org/debian-user/2003/06/msg00788.html
Спасибо! действительно полезная информация.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Поломали?"		+/–
Сообщение от vehn (ok) on 14-Дек-09, 17:45
>[оверквотинг удален] >(вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз >man, она там указана, но ls ее в упор не воспринимает. >Тогда решил сделать так: >$ ls -l /bin/ls >-rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls >Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов >в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree, >top аналогично. >Что это может быть? Меня хакнули? Может быть это как-то связано с >qmail (я в нем полный ноль)? Боюсь, что так. Проверяться rkhunter и/или chkrootkit. Можете, кстати, ещё просто попробывать просмотреть эти файлы обычным пейджером (less, more), вполне возможно, что это обычные скрипты.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Поломали?"		+/–
Сообщение от shadow_alone (ok) on 14-Дек-09, 19:17
Однозначно попали, ставьте сканер посмотрите еще вывод lsattr /bin/ если где есть sui, то это подмененные файлы.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Поломали?"		+/–
Сообщение от aleks (??) on 14-Дек-09, 22:38
Да, ребятки, поломали. Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже рут не может удалить. Я поснимал атрибуты на все эти файлы и переписал их соответствующими из пакетов. Кому интересно почитать про этот руткит, вот ссылка: http://lists.debian.org/debian-user/2003/06/msg00788.html
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Поломали?"		+/–
	Сообщение от linuxgid (ok) on 17-Дек-09, 14:05
	>Да, ребятки, поломали. >Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже >рут не может удалить. Я поснимал атрибуты на все эти файлы >и переписал их соответствующими из пакетов. Кому интересно почитать про этот >руткит, вот ссылка: >http://lists.debian.org/debian-user/2003/06/msg00788.html Спасибо! действительно полезная информация.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору