Re: je to prunik ?
|
To |
Debian CZ/SK project discussion list <czdebian-l zavinac debian bod cz> |
|
From |
Peter Trsko - dogmaT <dogmat zavinac gmail bod com> |
|
Date |
Tue, 10 Jan 2006 11:32:43 +0100 |
|
Mail-followup-to |
Debian CZ/SK project discussion list <czdebian-l zavinac debian bod cz> |
|
User-agent |
Mutt/1.5.11 |
Dobry den,
K $SUBJECT, urcite (podla spravania pri mazani ifconfig a pstree).
On Tue, 10 Jan, 2006, prchal zavinac dup bod cz wrote:
> Warning: Possible LKM Trojan installed
Na server sa odporuca monoliticke jadro.
> Zatim jsem zmenil heslo roota.
> Prosim o radu jak vypsat VSECHNY bezici procesy na masine (chkrootkit
> varuje, ze dva procesy PS nevidi) a jak pripadne postupovat dal.
Co by som v rychlosti spravil ja:
- skompilovat si na inom pocitaci monoliticky kernel
- ak mas pristup k inemu pocitacu s tym istym (prip. podobnym)
systemom tak si nakopiruj ifconfig a pstree (pozor na kniznice,
hint: ldd) ak nie je pristup tak si ich staticky skompiluj na inom
pocitaci.
- rebootovat dany pocitac do neakeho live distra (osvedcil sa mi
system rescue cd [1])
- mountnut disk, prekopirovat kernel, nastavit v lilo/grub, spustit
lilo v chroote
- premazat ifconfig a pstree
Toto je len docasne riesenie. V tom systeme je niekde diera a utocnik
ziskal prava roota aby zaviedol rootkit a nepotreboval na to heslo.
Preto je najjednoduchsie preinstalovat system, v infikovanom systeme
nemozno verit nicomu.
Ak je nutne mat kratky vypadok tak odporucam nainstalovat system na
inom pocitaci nakonfigurovat ho, skompilovat jadro pre gateway, potom do
neho opatrne prekopirovat konfiguracne subory (len tie naozaj nutne)
a kazdy rucne skontrolovat. Potom uz len vymenit disk (ak nahodou nie je
pristup k dalsiemu disku tak sa da system proste prekopirovat cez neake
live a potom v chroote spustit lilo - stary system je dobre zalohovat aj
ked je infikovany). V pripade ze su tam uzivatelske data tak by som ich
do noveho systemu nedaval, najskor ich treba skontrolovat a ist podla
pravidla: "co nie je nutne, je nepotrebne".
Treba zistit kadial sa tam utocnik dostal a zabezpecit to. Ak je to
diera v zabezpeceni tak nepomoze prosty bezpecnostny upgrade.
[1] http://www.sysresccd.org/
--
(dogmaT
(icq 303140614)
(jabber dogmat_at_njs_dot_netlab_dot_cz)
(mail dogmat_at_dogmat_dot_us)
(web http://dogmat.us))
Partial thread listing: