Re: je to prunik ?
|
To |
czdebian-l zavinac debian bod cz |
|
From |
Kepi <debian zavinac orthank bod net> |
|
Date |
Tue, 10 Jan 2006 11:34:03 +0100 |
|
User-agent |
mutt-ng/devel-r556 (Debian) |
Út, led 10, 2006 ve 08:01:26 +0100, Pavel Prchal napsal:
> Dobry den.
>
> Chkrootkit mi pri pravidelne kontrole oznamil:
>
> Checking `ifconfig'... INFECTED
> Checking `pstree'... INFECTED
to neni dobre.
> Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
> rootkit installed
> Checking `lkm'... You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
tohle vubec nemusi byt problem. Je to casto reportovano i kdyz mate
cistou instalaci. Nicmene MUZE to byt.
Mate modularni jadro nebo monoliticke? Pokud monoliticke a mate
zakazano pouzivani modulu, tak je to stoprocentne blbost, pokud ale
nemate, tak je tu pravdepodobnost...
> Kdyz jsem kontroloval soubory pstree a ifconfig, maji nastaveno
> vlastnik 122 a skupina 114
kdo je vlastnik 122 a co je to skupina 114? Nicmene nema cenu
hledat, vlastnikem techto souboru musi byt root a skupinou taky.
> Atributy nejdou zmenit a soubory nejdou prepsat.
zkuste man chattr, zrejme vam na ne dal atribut aby nesly menit...
> Zatim jsem zmenil heslo roota.
> Prosim o radu jak vypsat VSECHNY bezici procesy na masine (chkrootkit
> varuje, ze dva procesy PS nevidi) a jak pripadne postupovat dal.
rozhodne muzete zkusit jeste rkhunter, je podle me mnohem lepsi nez
chkrootkit, ale neni treba vypisovat vsechny procesy. Ten stroj je
opravdu nutny preinstalovat!
>
> Jde o internetovy gateway, nemuzu si dovolit dlouhou odstavku.
Instalace trva chvilicku. Skocte rychle tam, kde mate ten stroj,
odpojte ho z internetu, zazalohujte si nekam /etc a dulezity
soubory, nacisto preinstalujte a pouzijte vasich konfiguraku.
Nicmene pozor na to, ze je treba hlidat si, abyste tam nenakopiroval
neco spatnyho zase.
Jestli je to debian, tak doporucuju ulozit si taky vypis dpkg -l a
potom nainstalovat znovu vsechny baliky, takze budete online
cobydup.
Vrele doporucuju zazalohovat vsechny LOG SOUBORY a po reinstalaci je
analyzovat, protoze i po ni tam muzete mit stejne diry.
Takze zaver: Na 99% je to hacknuty, je treba rychle to
preinstalovat, protoze zvlast jestli je to gw, tak vam tam muzou
provadet pekny veci.
Hodne stesti
Partial thread listing:
- Re: je to prunik ?, (pokračuje)