Хелп! Взломали меня похоже...?

эх надобыло зделать lsof | grep <пид этого процесса>

У тебя наверняка сидит руткит. Скачай chkrootkit и rootkithunter. Если они что-нибудь обнаружат, то я тебе советую снести систему и переустановить заново с установкой всех обновлений.

эх мля, неподумал! по grep httpd там было неотличить что чего, а без грепа больно много инфы вываливает. а через acct ( file /usr/adm/pacct ) ничего полезного выцепить нельзя? может на будущее имет смысл поставить какую нить систему которая такие фигни детектит и меня оповещает? может есть чтото конкретное и проверенное что присоветовать?

php на apache крутится?

Во первых, не слушать советы типа "переустановить". Закрыть машине всё, кроме ftp (или через что там у вас в слаке пакеты ставятся), переустановить все пакеты поверх. В логах ничего нет? Так потерто там все, что тебя могло бы заинтересовать :) Логи приятно писать на другую машинку, которая доступа к инету вообще не имеет.

У меня такой вопрос, достаточно ли переустановить procps и modutils с оригинала, чтобы увидеть что запущен какой либо rootkit. (при условии того, что я знаю какие процессы и модули должны быть загружены, и проверяю рабочии процессы ps axuf, и загруженные модули lsmod)?

php & cgi крутиться...

Забыл:

Также переустановить net-tools, для того чтоб нормаьно посмотреть сокеты открытые netstat-ом.

Достаточно ли таких действий?

ну, машина то домашняя, крутиться на ней мой личный сайтик, потому и экспорта логов и ещё много чего нет.... по поводу руткита и тд - интересно, а почему ж я тогда по простому пс ах видел запущенный левый httpd & ./h ? не пойму...если б я их не увидел,спокойно б жил дальше....

а почему ж я тогда по простому пс ах видел запущенный левый httpd & ./h ?

Ну это тебе повезло, а то обычно ещё меняют бинарник ps, чтоб лищнии процессы не выводил... Вторая ошибка, еслиб он был назван просто httpd, ты бы тоже ничего не заметил. Поэтому лучше смотреть ps axuf командой, чтоб в иерархии выводилось, так ты сможешь увидеть лишний процесс httpd, так как он не будет потомком главного httpd. Надеюсь понятно обьяснил..

ну, заметил я по двум вещам - из за ключа SSSL и из за "левого" пути на исполняемый файл - /usr/local/httpd вместо /usr/sbin/httpd...

если ставят руткит то подменять сис.утилиты хакиру не нужно, там все что не нужно видеть постороннему глазу будет скрываться на уровне ядра -- и процессы и сокеты и файлы.

попробуй сравнить свой /sbin/init с установочным. что же касается переставлять/ не переставлять то если машина маловажная то лучше все-таки переустановить, потому что мало ли где эта сволочь прописалась...

логи? старый, ты взлом когда-нибудь видел? :) эксплойт он на то и эксплойт чтобы обходить логирование огородами >:]

нус,просканнил....
руткит хунтер:
---------------------------- Scan results ----------------------------

MD5
MD5 compared: 29
Incorrect MD5 checksums: 1

File scan
Scanned files: 328
Possible infected files: 0

Application scan
Vulnerable applications: 3

Scanning took 245 seconds

-----------------------------------------------------------------------
поругался на неправильный чексум утилиты "file"
и уязвимости php 4.3.4 & openssl

chrootkit дал результат поинтереснее:
/chkrootkit-0.44# ./chkrootkit -q

/usr/lib/perl5/5.8.2/i486-linux/.packlist
/usr/lib/perl5/site_perl/5.8.2/i486-linux/auto/DBD/mysql/.packlist
/usr/lib/perl5/site_perl/5.8.2/i486-linux/auto/DBI/.packlist
/usr/lib/perl5/site_perl/5.8.2/i486-linux/auto/XML/Parser/.packlist
/usr/lib/perl5/site_perl/5.8.2/i486-linux/auto/HTML/Parser/.packlist
/usr/lib/perl5/site_perl/5.8.2/i486-linux/auto/Mail/SpamAssassin/.packlist /usr/lib/perl5/site_perl/i386-linux/auto/Image/Magick/.packlist /usr/lib/php/.filemap /usr/lib/php/.lock /usr/lib/php/.registry /usr/lib/python2.3/site-packages/freeze/.cvsignore /usr/lib/j2sdk1.4.2_01/.systemPrefs /usr/lib/j2sdk1.4.2_01/.systemPrefs/.systemRootModFile /usr/lib/j2sdk1.4.2_01/.systemPrefs/.system.lock
/usr/lib/php/.registry /usr/lib/j2sdk1.4.2_01/.systemPrefs
You have 9 process hidden for ps command
Warning: Possible LKM Trojan installed

что скажете? что делать? хидден процессы вроде указывают на
чтото нехорошее? думаю снести джаву (на кой она мне там?)
обновить перл и отключить ссл в апаче...ещё чтото?

Warning: Possible LKM Trojan installed Предупреждение: Возможно установлен LKM троян

LKM (Linux Kernel Modulles)

Похоже дядя у вас серьёзно!

Бэкапь данные и переустанавливай.

> You have 9 process hidden for ps command

Неизвестный (пока) chkrootkit'у руткит, вероятность 99%.

Советую сбэкапить данные (никакие исполнимые бинарники бэкапить нельзя!!!), переустановиться с обязательным пересозданием файловых систем.

На будущее читать bugtraq и вовремя обновлять дырявый софт.

обновидл пэкеджи бин и процпс - теперь ркхантер на мд5 сумму двух других фай лов ругаецца,у которых перед этим всё было ок, цхруткит молчит как партизан. скрытых процессов,значить,нет. при этом ps ax ничего кардинально нового не показывет - например в листинге показалось больше копий мускуля запущенного....рестарта системы небыло. ничего не пойму.

> при этом ps ax ничего кардинально нового не показывет

если у тебя LKM, то так и не поймать.. для просветления можно читать http://www.s0ftpj.org/docs/lkm.htm

Еще можно пойти в форум Security и спрашивать там. ;)

мысль про полную переустановку,конечно же здравая,но имхо сперва надо найти через что было проникновение,и закрыть сей лаз...имхо. спасибо за ссылки - распечатал,буду читать.

> сперва надо найти через что было проникновение

Через дырявый софт. Потому что, судя по всему, после установки дистрибутива за обновлениями не следили.

Какие сервисы торчали "в мир"?

chkrootkit отсюда нужно брать - http://www.chkrootkit.org/ ?

Я чёт не понимаю этот chrootkit.

Вот как это всё понять:

[root@gateway chkrootkit-0.44]# ./chkrootkit -q

/usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist

You have     9 process hidden for ps command
Warning: Possible LKM Trojan installed
/proc/1079/fd/125: Value too large for defined data type
/proc/1103/fd/125: Value too large for defined data type
/proc/1104/fd/125: Value too large for defined data type
/proc/1072/fd/125: Value too large for defined data type
/proc/22290/fd/125: Value too large for defined data type
/proc/21485/fd/125: Value too large for defined data type
eth0: PF_PACKET(/usr/sbin/arpwatch)
eth0:ext: PF_PACKET(/usr/sbin/arpwatch)
eth0:int: PF_PACKET(/usr/sbin/arpwatch)

Начинаем разбираться...

1. Последнии три строчки. Да у нас запущен arpwatch, который перевёл сетевуху в неразборчивый режим.

2. Строчки начинающиеся с /proc вот они все эти процессы:

[root@gateway chkrootkit-0.44]# ps axfm | grep mysql
 1046 ?        S      0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
 1079 ?        S      0:30  \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql 

--pid-file=/var/run/mysqld/mysqld.pid --skip-locking
 1103 ?        S      0:46      \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
 1104 ?        S      0:06          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
 1072 ?        S    214:38          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
22290 ?        S      0:03          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
21485 ?        S      0:01          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking

Ну и что что, у них команда строчка длинная??

3. Дальше, ругань на 9 процессов которые мы якобы не видим.
Да, мы их можем не видеть:

[root@gateway chkrootkit-0.44]# ps axf | awk '/named/ || /mysql/ {print $0}'
  995 ?        S     14:36 /usr/sbin/named -u named
 1046 ?        S      0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
 1079 ?        S    216:10  \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql 

--pid-file=/var/run/mysqld/mysqld.pid --skip-locking

Но, стоит добавить парамтр m и мы все эти процессы видим:

[root@gateway chkrootkit-0.44]# ps axfm | awk '/named/ || /mysql/ {print $0}'
  995 ?        S      0:00 /usr/sbin/named -u named
  998 ?        S      0:00  \_ /usr/sbin/named -u named
  999 ?        S     12:33      \_ /usr/sbin/named -u named
 1000 ?        S      0:21      \_ /usr/sbin/named -u named
 1001 ?        S      1:41      \_ /usr/sbin/named -u named
 1046 ?        S      0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
 1079 ?        S      0:30  \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql 

--pid-file=/var/run/mysqld/mysqld.pid --skip-locking
 1103 ?        S      0:46      \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
 1104 ?        S      0:06          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
 1072 ?        S    214:42          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
22290 ?        S      0:03          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking
21485 ?        S      0:01          \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql 

--user=mysql --pid-file=/var/run/mysqld/mysqld.pid --skip-locking

Вот они 9 якобы не видимых процессов...

4. И последнее, подозрительный файл:

[root@gateway chkrootkit-0.44]# rpm -qf /usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist
perl-5.8.0-88.3

Вот и вопрос, на каком он основании сделал вывод, что "Possible LKM Trojan installed". То есть как бы предлагается переустановить 

систему, так вот, почему??

Спасибо.

2Обидос: в мир торчало профтпд,сендмыл,апач. недавно также бинд выставил. вроде всё. на апаче крутились кой какие скриптики по подсчёту посетителей на цги, галерея 1.3 (gallery.sourceforge.net), gtchat...вроде всё. вон,ещё у одного анонимуса ситеация как у меня - 9 хидден процессов, поссибле лкм троян...что,у него тож? :) как я уже сказал после апгрейда пакетов процпс и бин на поссибл трояный и хидден процессы более не ругаецца. список пакетов перла и джавы всё равно выдаёт. на момент установки слака 9.1 тока как вышла,так что дырявого ничего вроде небыло...