fwl? Троян?

0

0

Здравствуйте, многоуважаемые.
Собственно сабж. Я сам его себе не ставил, но он всегда запущен и слушает порт 4158. Лежит в /bin, запускается из rc.local файла, причем просто нагло добавлен в конец файла. Какой-то ELF-бинарник, размером 13671. Больше я о нем ничего не знаю. Вобщем все говорит за то, что это троян. Может кто-нибудь меня успокоит? (только, пожалуйста, не издеваться -- никто не застрахован)
Спасибо.

Ссылка

←	ProFTPD & Apache

русские имена на фат

→

У меня такого вообще нет

сабж

anonymous
(10.11.00 21:02:06 MSK)

Ссылка

А как же - конечно троян - ты ещё дату файла на всякий случай посмотри и вспомни -не было ли чего странного раньше в логах.

barmasay ★
(10.11.00 21:14:18 MSK)

Ссылка

В том-то и дело, что дата уже полугодовалая, никаких логов не сохранилось. Да не то что логов, вспомнить бы где он стоял этот сервер... Одно утешат, что раз до сих пор не бомбанули, значит этого им и не надо. Как бы теперь их выследить не спугнув?

anonymous
(10.11.00 21:24:17 MSK)

Ссылка

А может кому прислать его на изучение?
Сам-то я в дизассемблировании не силен :(

anonymous
(10.11.00 21:34:52 MSK)

Ссылка

Если у тебя RedHat, то пришли, плиз, на vav@ch70.chel.su, ok?

anonymous
(11.11.00 03:58:16 MSK)

Ссылка

в шадоу, в самом конце вот такая строчка:
own::10865:0:99999:7:-1:-1:134538460
в пассвд ничего подозрительного, разве что постгресскуль имеет шелом бин/баш -- это нормально?

anonymous
(11.11.00 23:11:47 MSK)

Ссылка

У него вообще шелла нет - судя по моей конфе - выдирай скорей.

barmasay ★
(12.11.00 14:12:42 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ProFTPD & Apache

Admin

русские имена на фат

→

У меня такого вообще нет

Похожие темы