forum.opennet.ru - "РУТКИТ?" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"РУТКИТ?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"РУТКИТ?"
Сообщение от help on 18-Сен-03, 13:09 (MSK)
Запустил chkrootkit, выдало Checking `chfn'... INFECTED Checking `chsh'... INFECTED Checking `cron'... not infected Checking `date'... INFECTED Checking `ls'... INFECTED Checking `ps'... INFECTED Остальное ок, как бороться?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

РУТКИТ?, open, 13:35 , 18-Сен-03, (1)
- РУТКИТ?, us.master, 13:38 , 18-Сен-03, (2)
  - РУТКИТ?, help, 14:15 , 18-Сен-03, (4)
- РУТКИТ?, help, 14:08 , 18-Сен-03, (3)
  - РУТКИТ?, dawnshade, 14:20 , 18-Сен-03, (5)
    - РУТКИТ?, help, 14:22 , 18-Сен-03, (6)
      - РУТКИТ?, dawnshade, 14:51 , 18-Сен-03, (7)
        
        РУТКИТ?, help, 15:02 , 18-Сен-03, (8)
        
        РУТКИТ?, dawnshade, 15:19 , 18-Сен-03, (9)
        
        РУТКИТ?, help, 15:42 , 18-Сен-03, (10)
        
        РУТКИТ?, dawnshade, 15:47 , 18-Сен-03, (11)
        
        РУТКИТ?, dawnshade, 15:56 , 18-Сен-03, (12)
        
        РУТКИТ?, dawnshade, 09:29 , 19-Сен-03, (13)
        
        РУТКИТ?, help, 19:02 , 19-Сен-03, (14)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "РУТКИТ?"

Сообщение от open on 18-Сен-03, 13:35  (MSK)

поставить такую же ось на какой нить комп
затарить на нем /bin /sbin /usr/bin /usr/sbin
и распаковать поверх существующих на инфицированном компе
и оперативно убить непонятных демонов, просмотреть стартовые скрипты на предмет запуска позрительного....
>Запустил chkrootkit, выдало
>Checking `chfn'... INFECTED
>Checking `chsh'... INFECTED
>Checking `cron'... not infected
>Checking `date'... INFECTED
>Checking `ls'... INFECTED
>Checking `ps'... INFECTED
>Остальное ок, как бороться?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "РУТКИТ?"

Сообщение от us.master on 18-Сен-03, 13:38  (MSK)

Если chkrootkit пускаешь в первый день после
установки системы, он это всегда выдаёт.
Журналов изменений-то нет ещё...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "РУТКИТ?"

Сообщение от help on 18-Сен-03, 14:15  (MSK)

>Если chkrootkit пускаешь в первый день после
>установки системы, он это всегда выдаёт.
>Журналов изменений-то нет ещё...
системе несколько недель, chkrootkit-у несколько часов

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "РУТКИТ?"

Сообщение от help on 18-Сен-03, 14:08  (MSK)

Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада?
Непонятных демонов не нашлось...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "РУТКИТ?"

Сообщение от dawnshade on 18-Сен-03, 14:20  (MSK)

>Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада?
>
>Непонятных демонов не нашлось...
Система, версия?
Если фря 5,1 - тода ртфм.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "РУТКИТ?"

Сообщение от help on 18-Сен-03, 14:22  (MSK)

4.8

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "РУТКИТ?"

Сообщение от dawnshade on 18-Сен-03, 14:51  (MSK)

>4.8

А версия руткита кака?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "РУТКИТ?"

Сообщение от help on 18-Сен-03, 15:02  (MSK)

>>4.8
>
>
>А версия руткита кака?
chkrootkit-0.41 сегодня из обновленных портов ставил

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "РУТКИТ?"

Сообщение от dawnshade on 18-Сен-03, 15:19  (MSK)

>>>4.8
>>
>>
>>А версия руткита кака?
>
>chkrootkit-0.41 сегодня из обновленных портов ставил

Хм. на сайте лежит 0,42

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "РУТКИТ?"

Сообщение от help on 18-Сен-03, 15:42  (MSK)

аналогично, но cvsup тянет порт для 0.41
0.42 не собрался
как быть?

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "РУТКИТ?"

Сообщение от dawnshade on 18-Сен-03, 15:47  (MSK)

>аналогично, но cvsup тянет порт для 0.41
>0.42 не собрался
>как быть?
Тогда еще вариант загрузиться с liveCD и проверить.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "РУТКИТ?"

Сообщение от dawnshade on 18-Сен-03, 15:56  (MSK)

>>аналогично, но cvsup тянет порт для 0.41
>>0.42 не собрался
>>как быть?
>
>Тогда еще вариант загрузиться с liveCD и проверить.
И внимательно посмотреть truss на зараженные (якобы) файлы.

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "РУТКИТ?"

Сообщение от dawnshade on 19-Сен-03, 09:29  (MSK)

>>>аналогично, но cvsup тянет порт для 0.41
>>>0.42 не собрался
>>>как быть?
>>
>>Тогда еще вариант загрузиться с liveCD и проверить.
>
>И внимательно посмотреть truss на зараженные (якобы) файлы.

И чо в итоге вышло?

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "РУТКИТ?"

Сообщение от help on 19-Сен-03, 19:02  (MSK)

>И чо в итоге вышло?
пока забил...
Вероятность что взломали мала - файрвол настроен на доступ только с пары сеток. truss смотрел ничего подозрительного.
Спасибо за советы!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "РУТКИТ?"
Сообщение от open on 18-Сен-03, 13:35 (MSK)
поставить такую же ось на какой нить комп затарить на нем /bin /sbin /usr/bin /usr/sbin и распаковать поверх существующих на инфицированном компе и оперативно убить непонятных демонов, просмотреть стартовые скрипты на предмет запуска позрительного.... >Запустил chkrootkit, выдало >Checking `chfn'... INFECTED >Checking `chsh'... INFECTED >Checking `cron'... not infected >Checking `date'... INFECTED >Checking `ls'... INFECTED >Checking `ps'... INFECTED >Остальное ок, как бороться?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "РУТКИТ?"
	Сообщение от us.master on 18-Сен-03, 13:38 (MSK)
	Если chkrootkit пускаешь в первый день после установки системы, он это всегда выдаёт. Журналов изменений-то нет ещё...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "РУТКИТ?"
	Сообщение от help on 18-Сен-03, 14:15 (MSK)
	>Если chkrootkit пускаешь в первый день после >установки системы, он это всегда выдаёт. >Журналов изменений-то нет ещё... системе несколько недель, chkrootkit-у несколько часов
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "РУТКИТ?"
	Сообщение от help on 18-Сен-03, 14:08 (MSK)
	Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада? Непонятных демонов не нашлось...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "РУТКИТ?"
	Сообщение от dawnshade on 18-Сен-03, 14:20 (MSK)
	>Взял те же файлы с дистрибутива, ничего не изменилось, в чем засада? > >Непонятных демонов не нашлось... Система, версия? Если фря 5,1 - тода ртфм.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "РУТКИТ?"
	Сообщение от help on 18-Сен-03, 14:22 (MSK)
	4.8
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "РУТКИТ?"
	Сообщение от dawnshade on 18-Сен-03, 14:51 (MSK)
	>4.8 А версия руткита кака?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "РУТКИТ?"
	Сообщение от help on 18-Сен-03, 15:02 (MSK)
	>>4.8 > > >А версия руткита кака? chkrootkit-0.41 сегодня из обновленных портов ставил
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "РУТКИТ?"
	Сообщение от dawnshade on 18-Сен-03, 15:19 (MSK)
	>>>4.8 >> >> >>А версия руткита кака? > >chkrootkit-0.41 сегодня из обновленных портов ставил Хм. на сайте лежит 0,42
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "РУТКИТ?"
	Сообщение от help on 18-Сен-03, 15:42 (MSK)
	аналогично, но cvsup тянет порт для 0.41 0.42 не собрался как быть?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "РУТКИТ?"
	Сообщение от dawnshade on 18-Сен-03, 15:47 (MSK)
	>аналогично, но cvsup тянет порт для 0.41 >0.42 не собрался >как быть? Тогда еще вариант загрузиться с liveCD и проверить.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "РУТКИТ?"
	Сообщение от dawnshade on 18-Сен-03, 15:56 (MSK)
	>>аналогично, но cvsup тянет порт для 0.41 >>0.42 не собрался >>как быть? > >Тогда еще вариант загрузиться с liveCD и проверить. И внимательно посмотреть truss на зараженные (якобы) файлы.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "РУТКИТ?"
	Сообщение от dawnshade on 19-Сен-03, 09:29 (MSK)
	>>>аналогично, но cvsup тянет порт для 0.41 >>>0.42 не собрался >>>как быть? >> >>Тогда еще вариант загрузиться с liveCD и проверить. > >И внимательно посмотреть truss на зараженные (якобы) файлы. И чо в итоге вышло?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "РУТКИТ?"
	Сообщение от help on 19-Сен-03, 19:02 (MSK)
	>И чо в итоге вышло? пока забил... Вероятность что взломали мала - файрвол настроен на доступ только с пары сеток. truss смотрел ничего подозрительного. Спасибо за советы!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх