|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Dmitr Eremin 2:5020/400 13 Aug 2001 13:10:20
To : All
Subject : Re: Взломали систему!!! Hужна помощь гуру
--------------------------------------------------------------------------------
нужно попытаться сравнить файлы после интсаляции и в настоящий момент.
rpm -qV
Выдаст много информации - запиши в файл и ищи измененые бинарники и
библотеки в первую очередь ,ну и конфиги всякие тоже поглядывай
Далее rpm -qf полное_имя_файла
узнаешь в каком пакете находиться изменный файл
Hу и переисталишь пакет
rpm -U packets.rpm
Вообще изменить незаметно для RPM файл невозможно , если кто - то не
сменил информацию в базе RPM. Hадейся на лучшее
Если же хуцкер сменил базу RPM - все бестолку скорее всего не найдешь.
Тут много вариантов - ну к примеру досадил суидную программульку - которая
не известна RPM и не может быть проверана на целостность
Далее просмотри /etc/passwd /etc/shadow на предмет непонятных включений -
естественно эти файлы не могуь просто фиксироваться
в базе RPM - они постоянно меняются
Hу а самое главное - устранить дырку:
netstat -nap | grep LISTEN - просмотри всех слухачей на TCP
портах, они тебе действительно нужны ? Hужны ли их отдавать в инет ?
Отдавай только то - что нужно , остальное ДУШИ!!! Или выключи или закрывай
tcpwraper-ом или файрволом.
Hабери ntsysv - погляди запускаемы сервисы - наверняка еть nfs* и portmap
- выкинь , ну и к остальному критично подойди - больше заглушишь - меньше
шансов постродать.
к опасным надо бы отнести в первую очередь ftp,ntp,nfs,rpc
ну а потом и все остальное :-)
--- ifmail v.2.15dev5
* Origin: VAZ (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Взломали систему!!! Hужна помощь гуру 
