взломана машина под linux, помогите с всостонавлением

0

0

Ситуация следующая. Не знаю кто и как но не смотря на все принятые меры, кто-то проник на веб сервер под RedHat Linux 7.0. Результат следущий. Зменен изначальный файл /etc/rc.d/init.d/functions. И не просто изменен - его теперь нельзя ни отредактировать, ни переименовать, ни удалить даже !!! из под root! Изменены файлы - /sbin/syslogd, /etc/rc.d/inet.d/xinetd,/etc/rc.d/inet.d/syslogd,/etc/rc.d/inet.d/atd и еще многь чего. НО!!! самое главное, что меня беспокоит это то, что многие файлы стали недоступны для удаления, переименования, редактирования. Кто нибудь может сказать как взломщик смог добиться такого эфекта и как его устранить?

Ссылка

←	Запуск OpenOffice

DrWeb 4.29 for linux

→

Использованы стандартные атрибуты. См. man lsattr/chattr.

anonymous
(19.11.02 10:24:27 MSK)

Ссылка

ОГРОМНОЕ СПАСИБО!!! А то я уж думал что прийдется все переустанавливать...

anonymous
(19.11.02 11:07:57 MSK)

Ссылка

лично я бы переустановил.... cудя по всему поковыряли машину хорошо, вы уверены что сможете _все_ грамотно вычистить ? учитывая ваш вопрос про lsattr/chattr - думаю нет (маловато у вас знаний о security , только без обид - ладно ?) и после переустановки - _тщательно_ отконфигурить сервер , если есть рядом гуру - посоветовавшись с ним.

sasha999 ★★★★
(19.11.02 11:32:26 MSK)

Ссылка

Переустановить надо обязательно!

anonymous
(19.11.02 12:04:30 MSK)

Ссылка

В случае грамотного взлома даже для гуру простейшим способом восстановления зачастую является переустановка системы. Особенно если при этом осуществляется переход от ТОГО_ЧТО_СТОЯЛО, к тому, что ТЫ_ХОРОШО_ЗНАЕШЬ.

А от потерь в этом случае спасет бэкап ДАННЫХ.

Good Luck!

Ikonta_521 ★
(19.11.02 12:15:11 MSK)

Ссылка

перед переустановкой посмотри диры типа /dev/.- /dev/. и т.п. мож чего в них полезного оставили хакеры :)

anonymous
(19.11.02 12:16:26 MSK)

Ссылка

Ребят, а не могло получиться так, что проглючила FS? У меня на 486-й такая хрень была. На ReiserFS. :-) Файл /etc/smb.conf попал на bad-сектор. :-))) Тоже не получается удалить/открыть/изменить. :-))) Причем, ее ТОЧНО не хакнули, ибо стоит она у меня дома не подключенная к инету и используется в качастве файл-помойки. :-)

P. S. А вообще бы было не плохо сделать по уму, а именно: снести Шапку -> поставить Slackware по минимуму -> выкачать сырцы нужного софта -> скомпилячить софт.

P. P. S. Ну и, ессно, помучать файлы типа /etc/inetd.conf на предмет запрещения обработки вызовов по ненужным протоколам. (а еще лучше, inetd вообще не запускать).

~~R00T~~ ☆
(19.11.02 13:07:00 MSK)

Ссылка

если влом переустанавливать все - rpm -V и переустановка с --force всех битых пакетов

ananas ★★★★★
(19.11.02 14:14:24 MSK)

Ссылка

da ya bi systemu perestavil nahren, sebe men'she moroki da i potom spokoynee budet.

anonymous
(19.11.02 19:16:50 MSK)

Ссылка

Переустановить, причем обязательно пересоздать файловые системы (в досовых терминах -- все переформатировать нах).

В противном случае ждите проблем с недобитым руткитом. Проходили, напарывались.

Теперь по поводу бэкапа. НЕ БЭКАПИТЬ никакие исполняемые файлы, только данные. Касаемо скриптов и исходников: если Вы не уверены на 100% (путем анализа исходного текста или сравнения md5sum с эталонным), что данный файл не изменен, ему место одно -- /dev/null.

На будущее следите как минимум за cert.org, bugtraq и регулярно проводите updates своего дистрибутива.

Obidos ★★★★★
(20.11.02 10:33:35 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Запуск OpenOffice

General

DrWeb 4.29 for linux

→

Похожие темы