LINUX.ORG.RU

Червяк залез?


0

0

Взломали копутер. Вообще-то, сейчас я им рулю, но он - моего коллеги, с которым
мне не охота связываться. Он его "одевал" в SuSE 7.0, а сейчас на год слинял
в другой город. Что он там наставил, трудно разгрести, но, вот, на днях ломанули.
Наверное, через sshd 1.2.27, кажется. На нем никто не работает, стоит себе в углу...

"Деструкцию" производил LKM rootkits, а рулили компьютером через демон
sshd2 с ключом -q

Я погасил сетку ifconfig eth0 down и стал копаться. Все разобрал,
много чего позаменяли, я сейчас "для порядку" всю систему переставляю.

Обнаружил процесс ssh2d -q , который сушал некий порт. ps ls netstat
его/файл не видят - LKM, да и бинарники заменили! - но некими нетривиальными прогами
я узрел, что процесс этот держит сокет на порту 4256, который уже закрыт, но remote IP
адрес его остался! Реальная машина, я ее даже WEBом посмотрел - страничка состоит из
надписи Cum Swallowing Sluts

ВОПРОС: этот IPшник - действительно то, откуда мною рулили, или же одна из жертв?
Очень охота найти козла! :)

Если кто откликнется, напишу все подробности - какие файлы заменили,
с какими ext2 атрибутами, куда спрятали оригинальные файлы.

Помогайте, никогда security не интересовался - до позавчерашнего дня :)

★★★★★
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.