Не так давно я писал в этот форум http://www.linux.org.ru/jump-message.jsp?msgid=412361 о проблеме, вроде бы решил её, но, как я и подозревал, ненадолго. Теперь левый трафик идёт с другого айпишника. Вернее шёл. Но завтра он может пойти с третьего хоста, после того, как я заставлю iptables дропать все пакеты с третьего - с четвёртого, и т.д.
После прошлого эпизода я переустановил ось. Но меня гложут сомнения насчёт этого, потому как /home у меня находится на отдельном разделе. Ведь потенциальный троян может прописаться именно на нём, а не в корневом разделе... и тогда переустановка пофиг?
Сейчас из сетевых сервисов запущены: anacron, autofs, crond, gpm, iptables,irqbalance, keytable, kudzu, network, portsentry, random, sgi_fam, syslog, xfs.
Проверка chrootkit ничего не дала (кроме списка "подозрительных файлов").
В данный момент правила для iptables выглядят так:
*filter
:INPUT DROP [5378:543744]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9253:1067136]
[2410:1743572] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A INPUT -s 129.123.41.41 -j DROP
[0:0] -A INPUT -s 213.179.244.10 -j DROP
[0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP
[3:84] -A INPUT -s 192.168.14.1 -p icmp -j ACCEPT
[447:26820] -A OUTPUT -d 129.123.41.41 -j DROP
[0:0] -A OUTPUT -d 213.179.244.10 -j DROP
Хост 192.168.14.1 - гейт локалки в интернет, icmp трафик с него разрешён, т.к. иначе через каждые пару минут происходит логаут.
В /var/log/messages ничего особо подозрительного не заметил. Но может стоит его запостить (вместе со "списком подозрительных файлов")? Я ведь далеко не профессионал, всё-таки...
Подскажите, плиз, что тут ещё можно сделать?
