Чем проверить проект/сервер на наличие руткитов/хрени?

Существует такая реальность, вчера слышал историю про иб в ПФ:
Флешки они не принимают, только дискеты,
но приходить надо с флешкой, дискету не примут, далее алгоритм следующий (какая псевдожизнь, такой и псевдокод):

var
 visitor = TVisitor(self)
 visitor.usb.flash = TUsb.flash.pfreport(new)
  
try

 wtf_queue1:
 queue1 = TQueue.create(new)
 queue1.visitor.wait
 goto wtf_queue2

 wtf_queue1_2:
 if error.reading(fda0) then goto(wtf_queue2)
 showmessage("на ваши сбережения мы полуостров прикупили, у вас задолженность 1 копейка и пени 20 руб")
 showmessage("мы вам исполнительный лист в банк отправили") 
 showmessage("срок дожития продлять будем ?") 
 showmessage("в смысле пенсию выплачивать ? тут не богадельня а серьезное предприятие") 
 visitor.die

 wtf_queue2:
 queue2 = TQueue.create(new)
 queue2.visitor.wait;
 ибшник = TGOSsotrudnik.create(new);
 while(visitor.count>rand*5) do with ибшник begin
   pc.eject(pc.rj45)
   pc.plugin(visitor.usb.flash)
   pc.windiows.infect(visitor.usb.flash)
   ибшник.writeln("copy e:\*.xml a:\")
   pc.eject(pc.fda0)
   pc.plugin(pc.rj45)
   ибшник.showmessage("мужчина, вы что не видете, у нас обед!",wm_modal)
   ибшник.sleep("я не сплю!")
 end;
 goto wtf_queue1_2

 ибшник.free
 queue2.destroy
 if queue1=-1 then queue1.destroy
# почему-то память течет

except
 reise("reise Seemann Reise")
finaly
 visitor.showmessage("*&$#)(&*$^)@#@$ !!!!")
end;

Отыскиваешь, файл вредитель, отыскиваешь, далее смотришь его расположение. Конечно если это не пару строчек, добавленных к какому-либо php скрипту, из тех кто и так запущенны, к примеру. Если скажем там висит шелл, то порой даже достаточно, просто просканировать начиная с 1024го, порт просто будет открыт из вне.

Если сервер имеет доступ в интернет - обратное подключение с него на твой домашний комп например.

Что это?

reverse shell

Remote shellcodes normally use standard TCP/IP socket connections to allow the attacker access to the shell on the target machine. Such shellcode can be categorised based on how this connection is set up: if the shellcode can establish this connection, it is called a «reverse shell» or a connect-back shellcode because the shellcode connects back to the attacker's machine

Попробуйте вот эту штуку http://revisium.com/ru/blog/ai-bolit.html

зачем оно мне?

эт я не вам а erzent

я уволился от седа, слишком геморно так работать, таблеток от давления не хватит.

колёса без водки - деньги на ветер

я уволился ещё по 1 причине, рабочую визу наконец дали вместо туристической.

Ждём историю успеха.

она будет ещё не скоро, только только ближе к феврялю, тк жене сказали дадут визу в середине января, пока аутсорса хватит, 50 шт конечно не 100, но жить можно.

С женой на 50 штук в Питере? Туговато.

не, я с аутсорса 50 получа., и жена 60 работая дизайнером, просто вместе с аутсорсом у меня было сейчас 100.

Ну, это норм. Если детей нет.

дети есть, 2.

Тогда возвращаемся к «туговато». Впрочем, детям главное любовь и понимание родителей, да чтобы мама с папой из-за денег не гавкались.

И куда вы так все торопитесь семьями обзаводиться...

у нас своя квартира, 8900 сейчас коммунальные, ну и 1200 интернет с телефоном и телеком,ну на проезд жене будет 4000 до работы, проживём думаю.

ну а куда без этого, я без жены как без рук, если бы не она я бы давно помер.

Держись, успехов.

Привет Финляндии?

если жене не будут, как мне больше 8 месяцев давать рабочую визу, то да, так уже надоели российские работодатели.

Ну дерзай, только поближе к столице, в село хоть не едь.

у меня было сейчас 100.

жируешь. в регионах это ЗП за 3-5 месяцев.

кто-то и за 5 долларов в месяц работает, это не значит, что это нормально.

http://www.chokepoint.net/2014/02/detecting-userland-preload-rootkits.html — детектор userland-руткитов.

Чем проверить проект/сервер на наличие руткитов/хрени?

Найти всё имеющее бит исполнимости а затем каждое найденное проверить на соответствие установленным пакетам(с crc, md5 и т.д.) в системе при помощи пакетного менеджера. Затем всё что есть но не относится ни к какому из установленных пакетов лишить бита исполнимости или просто удалить.

Либо еще проще установить всё то же самое начисто на тестовой системе а затем затем сравнить с испытуемым.

тему не читай, сразу отвечай. Доступа к руту не было, переустановить тоже нельзя....

тему не читай, сразу отвечай. Доступа к руту не было, переустановить тоже нельзя....

Значит делай вдоль потому-что любая нечисть, если он там вообще была, уже давно поимела root-а через найденные дыры и сделала с твоей системой всё что захотела.

она не моя, и мне рут не давали, читай тему.

она не моя, и мне рут не давали, читай тему.

Да она не твоя ты только объявление разместил.

Мне плевать чья она. Что сделать с системой для того чтобы выявить и устранить опасность я тебе написал а как это осуществить не имея root-а, в то время как твою систему уже потенциально отымели во все её дыры, это не мои проблемы.