|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexander V. Gaiduk 2:5020/400 19 Jun 2007 17:17:47
To : All
Subject : избавится от руткита
--------------------------------------------------------------------------------
превед.
пришёл в одну контору, там стоит непатченный RH9 как squid+mail,
и проломили его каким то експлойтом, узнать как конкретно не представляется
возможным - каталог /var/log просто удалён. :-[ ]
соответсвенно система стала раком и не работала.
rkhunter-1.2.9 в этой системе нашел много злых мест,
куда этот руткит залез, я его везде там поудалял.
после чистки, создания /var/log, и просмотра своими ls, ps и netstat
система запустилась и работает без "чужих" процессов.
а вот эти файлы:
/bin/ls
/bin/ps
/bin/netstat
/dev/ttyoa
/dev/ttyof
/dev/ttyop
/usr/bin/sense
/usr/bin/sl2
/usr/bin/(swapd)
/lib/lidps1.so
/etc/sh.conf
и ещё несколько других...
HЕ УДАЛЯЮТСЯ !!!
[root@xxxxxx bin]# /root/rk/bin/ls -al /bin/ls
-rwxr-xr-x 1 root root 36692 Дек 14 2001 /bin/ls
[root@xxxxxx bin]# rm -f ls
rm: невозможно удалить `ls': Permission denied
как их можно удалить, т.е. заменить оригинальными из дистрибута?
надо систему временно восстановить, чтоб день-два поработала,
далее на неё будет установлен CentOS.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
