Re: je to prunik ?
|
To |
czdebian-l zavinac debian bod cz |
|
From |
Kepi <debian zavinac orthank bod net> |
|
Date |
Tue, 10 Jan 2006 11:53:09 +0100 |
|
User-agent |
mutt-ng/devel-r556 (Debian) |
Út, led 10, 2006 ve 11:42:14 +0100, Ailas napsal:
> On Út, led 10, 2006 at 08:01:26 +0100, Pavel Prchal wrote:
> > Dobry den.
> >
> > Chkrootkit mi pri pravidelne kontrole oznamil:
> >
> > Checking `ifconfig'... INFECTED
> > Checking `pstree'... INFECTED
> >
> > Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
> > rootkit installed
> > Checking `lkm'... You have 2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> >
> > Kdyz jsem kontroloval soubory pstree a ifconfig, maji nastaveno
> > vlastnik 122 a skupina 114
> >
> > Atributy nejdou zmenit a soubory nejdou prepsat.
> >
> > Zatim jsem zmenil heslo roota.
jo jinak tohle je asi naprosto zbytecne, pokud je tam nejaky
rootkit, tezko ziskava roota pres heslo, ale proste pres nejakou
bezpecnostni chybu...
> > Prosim o radu jak vypsat VSECHNY bezici procesy na masine (chkrootkit
> > varuje, ze dva procesy PS nevidi) a jak pripadne postupovat dal.
> >
> > Jde o internetovy gateway, nemuzu si dovolit dlouhou odstavku.
>
> Pokud jde jen o gw, zkuste netstat a vypsat co to jde.
> Popripade pokud mate pred tim jiny fw, monitorovat spojeni jdouci
> na/z toho stroje primo jako source/destination. tcp i udp.
Partial thread listing: