LINUX.ORG.RU
ФорумSecurity

bindshell — удаление без переустановки системы


0

0

И всё же, может быть кто-то знает как удалить bindshell без переустановки системы. Глупо это как-то выглядит, выпучив глаза форматировать диски из-за того, что некто откомпиллировал и запустил на моём сервере 20 строк кода. Не хочется также ввязываться во флейм о сохраняющихся опасностях. Способ существует, я почти уверен :-)

проявляется его присутствие это так:

нечто (со случайным именем) слушает UDP/3049
после уничтожения процесса, появляется снова через минуту под другим именем (именем команды запускавшейся в течение этой минуты)

lsof -i UDP:3049
и
fuser -v 3049/udp
не выводят ничего интересного

ну да, как bindshell его определяет chkrotkit

anonymous
Неизвестный ftp
Интерактивный netstat?

А во время запуска chrootkit часом portsentry не был запущен? Если да, то расслабся, активность portsentry интерпретируется chrootkit'ом как bindshell, а если нет... тогда в натуре кто-то забиндил шелл на том порту. Как удалить без форматирования - х.з.

>некто откомпиллировал и запустил на моём сервере

у тебя что - на сервере установлен компилятор?

bsh ★★★
()

Я задавший вопрос анонимус и, очевидно, недостаточно отчетливо обозначивший, что прочел и readme от chkrootkit и поискавший ответ гуглем и яндексом. Уточняю -- Portsentry запущен не был.
Ещё одно уточнение -- Kstat (Kernel Security Therapy Anti-Trolls) собрать пока не удалось. Ядро 2.4.2

Насколько я понимаю, bindshell использует LKM. Может быть хоть идеи какие-то есть как блокировать/идентифицировать загружаемый модуль, если это LKM?

Oxonian, на тебя вся надежда :-)

anonymous
()
Ответ на: комментарий от anonymous

>недостаточно отчетливо обозначивший, что прочел и readme от chkrootkit и поискавший ответ гуглем и яндексом. Уточняю -- Portsentry запущен не был.

Да иногда бывает и читал, и знаешь, но элементарно забываешь про какую то фишку... по поводу идентификации ЛКМ - хз, не сталкивался с этим.

bsh ★★★
()

http://ter-viy.narod.ru/linux.html Это у тебя Linux.Osf.8759. Пакостная штучка, заражает все ЕЛФы, до которых может дотянуться. Мне в свое время пришлось натравить АВП на него, он смог только найти все файлы с вирусом и удалить их. И далее поставить сверху чистую систему. Можеть быть сейчас есть утилитка которая бы повычищала его.

DiBrain
()
Ответ на: комментарий от anonymous

> Oxonian, на тебя вся надежда :-)

LOL. ;) Я ж не волшебник... ;)

Смотри сюда: http://project.honeynet.org/scans/scan29/sol/mgaillard/sotm29_MG.html

Похоже?

If the rootkit locate in /lib/.x is executed and installed, it will open a UDP port 3049 with a bindshell. The process which listen at this port is a modified version of grep.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Реально — вирус. Опыты борьбы.

И впрямь вирус. Установил я под это дело несколько антивирусов. Вот результаты:

kavscanner определяет как Linux.Osf.8759 даром, что демон заразился ещё в процессе инсталляции.
drweb -- Linux.Osf.3974
Sophos -- Linux/OSF-A
Panda не определяет даже с последним обновлением базы (30.12.03)
McAfee не запустился, Линукс версия у них похоже ещё в стадии ранней беты.

KAV -- не лечит, даже с рабочим ключом. Возможно только удаление зараженных файлов, а это практически весь /bin (66 из 67 файлов заражено), /usr/bin (628 из 651), /usr/sbin (143 из 171). Удивительно но в /sbin -- чисто.
Sophos -- не лечит.

Одна надежда остается на DrWeb. Ключ не сумел найти для Линуксовой версии. Дайте, пожалуйста, ключик попользоваться? Если вылечит -- куплю, блин.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Неизвестный ftp
Security
Интерактивный netstat?