Результаты проверки chkrootkit

1. Троян тебе могли посадить удаленно, взломав один из сервисов который у тебя виден из инета. 2. "Checking `z2'... user olka deleted or never loged from lastlog!" значит что либо это фиктивные юзеры которые никогла не логинились, либо лог чистился. 3. bindshell скорей всего и есть троян, который висит на двух портах и через него скорей всего тебя и имеют.

Выход - самый надежный - переустановить ситему с форматированием винта сохранив от предыдущей только нужные конфиги.

И почаще обновляй софт, в котором находят дыры.

>Троян тебе могли посадить удаленно, взломав один из сервисов который у тебя виден из инета

Как какой-либо сервис мог быть виден из инета, если у меня нет реального айпи (комп находится в локальной "домашней сети"), и в /etc/hosts.deny прописано ALL: ALL (правда, запись в /etc/hosts.deny я внёс уже после того, как троян начал свою активность)?

>Выход - самый надежный - переустановить ситему с форматированием винта сохранив от предыдущей только нужные конфиги.

Мне тоже так кажется. Только хочется после переустановки предпринять меры по предотвращению повторения этой истории... и я пока не знаю какие именно меры. Закрыть все порты, которые реально не используются (какие? кажется, все, номера которых больше 1024?)? Все нужные (используемые запущенными демонами) порты фильтровать с помощью iptables? Ставить IDS типа snort?

Юзеры не фиктивные, а реально существующие, значит чистился лог. А с какой целью чистился лог этих юзеров? В смысле, чего полезного можно было бы узнать об активности этого трояна, если б лог не был потёрт?

И как насчёт "подозрительных файлов и директорий"? Это фойло предположительно изменённое трояном?

Совет:
- Если машина компании -- выбей денег на разовую настройку сервера и найди хорошего админа, который за эти деньги поставит и грамотно настроит тебе всё, что нужно.
- Если машина твоя личная -- читай книжки.

Описывать всё, что нужно сделать, чтобы комп не сломали, очень долго и лень, если честно.

> Как какой-либо сервис мог быть виден из инета, если у меня нет реального айпи (комп находится в локальной "домашней сети")

Вот именно из этой сетки вас и проломали. Другую схему (на примере DNS-коннектов, тут уже из инета) приводили ранее.

> в /etc/hosts.deny прописано ALL: ALL

Это совершенно бесполезно, увы. Нужно закрываться файрволлом (ipchains, iptables или какой у вас в дистрибутиве).

> хочется после переустановки предпринять меры по предотвращению повторения этой истории...

В принципе ничего нового, но все же. ;) Сеть -- потенциально агрессивная среда, посему следует придерживаться правила "моя машина -- моя крепость и все входящие без моего ведома идут по известному адресу".

1. Закрыть ВСЕ!!! порты. Любым входящим со стороны сети пакетам tcp, udp и icmp делать DROP. REJECT нельзя, поимеют атакой "отказ в обслуживании". При этом вы будете нормально "ходить в интернет". Разве только сдохнут файлообменки и передача файлов в ICQ.

2. Тщательно подумать, нужны ли какие-либо сервисы на машине, доступные извне. Если, например, у вас на машине www-сервер, то открыть ТОЛЬКО порт 80/tcp (если используете SSL, то еще 443/tcp). И так далее.

3. Обязательно обновить до последних версий софт, критичный для безопасности (особенно если его нужно "выставлять наружу". "Наружу" -- это и ваша локалка тоже). Краткий и далеко неполный перечень: SSH (OpenSSH), Semdmail/Postfix (что-то одно, что используете), Apache (если у вас веб-сервер), FTP-демон (если держите у себя ftp-шник). И регулярно следить за обновлениями. Никаких telnet, забудьте уродца как страшный сон. Только SSH.

4. Работа с правами root чревата. Даже не столько пресловутым нечаянным rm -rf /. Приведу пример. В браузере Opera нашли глюк, при определенных условиях позволяющий выполнить на вашей машине любой код, который хочет злоумышленник. Достаточно зайти на его страничку. Сравните потенциальные разрушения в двух случаях -- Opera запущена с правами root (п-ец системе) и с правами обычного пользователя (пользователю п-ец, системе пофиг).

Это далеко не все, по сетевой безопасности исписано море бумаги и набито много байт.

> 3. Обязательно обновить до последних версий софт, критичный для безопасности (особенно если его нужно "выставлять наружу". "Наружу" -- это и ваша локалка тоже). Краткий и далеко неполный перечень: SSH (OpenSSH), Semdmail/Postfix (что-то одно, что используете), Apache (если у вас веб-сервер), FTP-демон (если держите у себя ftp-шник). И регулярно следить за обновлениями. Никаких telnet, забудьте уродца как страшный сон. Только SSH.

3a. По FTP пускать только анонимусов, остальных -- через sftp. Пароль на SMTP/POP3/IMAP принимать только в шифрованном виде. А ещё лучше -- поверх SSL.

5. Обратить внимание на настройки сервисов, которые смотрят наружу. Даже через недырявый сервис можно пролезть внутрь, если он криво сконфигурирован (например, если httpd запускается от рута и выдаёт в мир / ;) )

Спасибо всем за ответы. В общем-то остался только один вопрос: как бы вычислить айпишник злоумышленника? Я так понимаю, что с вероятностью в 99% он находится в моей локалке. Надо бы его наказать. То есть установить его айпишник и сообщить провайдеру дабы этот субьект искал себе другую сеть.

Что делать? Смотреть netstat по "инфицированным" портам? Использовать tcpdump? Как я понял, это стандартный (или весьма мало модифицированный bindshell. Во всяком случае висит он на стандартном для него порту (31337). Следовательно злоумышленник, скорее всего, заходит на этот порт телнетом. То есть проследить соединения по этому порту можно. Или я чего-то не понимаю? Только хотелось бы установить именно его айпишник (он ведь может имитировать соединение с "невинного" компа другого юзера , ну то есть подменять обратный адрес в заголовках пакетов)?

незнаю, на сколько это поможет тебе, но я бы каждых 5-10 минут логи сливал почтой на какой-то ящик на рамблере. Чисти не чисти - а лог тю-тю.

Ну и раз в сутки diff'ом последний с локальным сравнивал - разные, значит искать когда чистили