хакерский взлом cups

1. backup данных есть?
2. Что именно взломали?

Сравнить с конфигами из бэкапов, проверить контрольные суммы исполняемых файлов с файлами из бэкапа //и. о. К. О.

как определить какие программы запускались, firestarter логов нет, но это не имеет значения ip всё равно поддельный

1. backup данных есть?

нет

2. Что именно взломали?

админку cups а затем получили root.
это видно из логов ошибок

http://www.opennet.ru/tips/2631_check_security_rootkit_linux_rpm_deb_redhat_f...

на самом деле, я рекомендую написать простой скрипт, который просканирует всю файловую систему, и определит какие файлы видоизменялись после того как систему взломали.

для начала - с чего Вы решили, что был взлом? По поводу действий после взлома посмотрите - http://www.opennet.ru/tips/info/2631.shtml

на самом деле, я рекомендую написать простой скрипт, который просканирует всю файловую систему, и определит какие файлы видоизменялись после того как систему взломали.

я просмотрел файлы которые были созданы и удалены. созданы конфиги cups, старые с теми же именами, но на конце '*.0', размеры файлов разные при чем один файл с 777- правами доступа. удалены логи cups за вчерашний и т.д. день, остались только за сегодняшний. и то приходит сообщение с порнушкой (открывается в firefox) и словами «ваш ip будет заблокирован внесите на телефонный номер ... n рублей». при этом можно отключить только с помощью «kill xxxx»

если это не взлом, то мне пора бросить инженерные науки и заняться балетом.

/var/log/secure - удален

rpm может паказывать какие файлы были изменены с момента установки пакета

Посмотреть команду, которая запускается при выводе баннера.

ps ax | grep -i "<>"

Произвести поиск по файловой системе:

find / -type f | while read name 
do 
   if grep "<>" $name > /dev/null 
      then echo $name 
   fi 
done

Ну собственно и смотрите что и где.

Но что-то мало вероятно, что вы не обманываете честное сообщество.

Так же проверьте /etc/hosts.

Но что-то мало вероятно, что вы не обманываете честное сообщество.

загляните на сайтик и порадуйтесь порнушке (уверяю основатель сайта не я)
erpornfree.dima35427.tube4738.users.438923.hostfree.whoistk.ru

кстати в hosts меня смущает
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

что это?

тему можно закрыть поступлю как сказано на http://www.opennet.ru/tips/info/2631.shtml сделаю линуксу харакири

А почему вы не рассматриваете ситуацию, что у вас просто сменилась домашняя страница (открываемая по умолчанию) при запуске браузера ?

Это можно сделать и через скрипт встроенный в страницу.

Так что вспоминайте, где до этого «лазили» и на какие вопросы отвечали утвердительно.

А почему вы не рассматриваете ситуацию, что у вас просто сменилась домашняя страница (открываемая по умолчанию) при запуске браузера?

я конечно ламер но не на столько-же??? кроме того для того чтобы изменить конфиги cups ПОД ROOT'ОМ скрипта маловато.

Хм, при чём здесь «конфиги» cups.

Вы же говорите, что вы устанавливали обновления в системе, возможно при установке обновлений старые конфигурационные файлы были сохранены с именем *.0. Да и логи могли cups после обновления могли быть очищены сценариями, выполняемыми после процедуры обновления.

А ваш порно баннер вы «подцепили» лазая по «некоторым» сайтам. В которые был встроен скрипт замены домашней страницы.

Вот и все дела.

логично...

логично ... но неверно - ЛОГИ CUPS САМИ ПОЯВЛЯТЬСЯ И ИСЧЕЗАТЬ НЕМОГУТ - перед переустановкой я проверил логи - там то чего утром небыло - там появились какие-то логи датированные вчерашним днем, в архиве как это делает cups. эта тема является прямым указанием хакеру что нужно изменить, что бы его появление казалось ШУТКОЙ.

http://www.linuxcenter.ru/lib/articles/system/bulgar.phtml

Это дефолтные записи для IPv6.

как они появляются, для чего служат?

Обычно появляются при установке.

Служат для сопоставления имён с адресами. //К.О.

спасибо за ликбез

>Вы же говорите, что вы устанавливали обновления в системе, возможно при установке обновлений старые конфигурационные файлы были сохранены с именем *.0. Да и логи могли cups после обновления могли быть очищены сценариями, выполняемыми после процедуры обновления. вопрос - может ли apt-get'том быть заменен конфигурационный файл с темп именем '*.0'. логи могут, а конфиги?