LINUX.ORG.RU

Clamav удалил файлы /bin/chown; /bin/hostname итд, указав их как вирусы


0

2

Clamav удалил файлы /bin/chown; /bin/hostname итд, указав их как вирусы Как можно переустановить эти программы. Может быть переустановит базовую часть системы? Можно ли это сделать с помощью yum в CentOS?

★★

Не, ну я конечно слышал про каспера, который сносил нафик shell32.dll и т.п... Выходит, прогресс и до нас добрался, что не может не радовать.

Cancellor ★★★★☆
()
Ответ на: комментарий от ChAnton

где вы вообще ухитрились подцепить вирус ? )
обычно после массированного заражения, да еще и с подозрительной активностью на взлом, лучше одним лишь clamav не ограничиваться, а проверить систему на руткиты и прочие радости... а может даже и просто переустановить

Sylvia ★★★★★
()
Ответ на: комментарий от Cancellor

Купили дедик на хостере 2 недели назад. Хостер через неделю не предупредив, подрубился на этот сервер через внутренний интерфейс с ихней локалки, поменял на рута неделю назад, ковырялся сутки на сервкаке, потом увел его в ребут и прислал тикет, что типа мы Вам обновили и выдали новый сервер. Причем свой внутренний интерфейс так и оставили включенным в свою сетку. Мы естессно все поменяли, закрыли, но через неделю вот такая байда)))

ChAnton ★★
() автор топика
Ответ на: комментарий от zakot

Да, причем я за полгода видел подобное 3 раза в разных местах. В одном месте даже на файловой системе была создана отдельная директория с аккуратно написанными шелл скриптами, лежали уже готовые бинарники, некоторые клоны системный директорий, и даже снимок live-cd-knoppix. И отрабатывались некие процессы которые собирали инфу по dns по инету. Но это бы ло совсем в другом месте. Звали полечить))))

ChAnton ★★
() автор топика
Ответ на: комментарий от ChAnton

претензии к хостеру предьявили по поводу того что лезут куда не просят?

Sylvia ★★★★★
()
Ответ на: комментарий от ChAnton

Переустановить нафик систему. Вендоподобным проблемам - вендоподобные решения :-)

Cancellor ★★★★☆
()
Ответ на: комментарий от ChAnton

Прям гордость испытываю за Linux. Может же, когда хочет.

debian6
()
Ответ на: комментарий от zakot

Этого я не знаю))) Наверное Касперский дописал последнюю пачку вирусов и таки выпустил их в инет.

ChAnton ★★
() автор топика
Ответ на: комментарий от zakot

Они ребутнули сервер на площадке без нашего ведома, сменили рута и сделали апгрейд. Причем оставили поднятым интерфейс дополнительной сетевой карты с локальным ip адресом внутренней сетки.

ChAnton ★★
() автор топика
Ответ на: комментарий от Sylvia

Кстати, а что можеь означать такой вот результат сканирования директории /usr clamav?

/usr/share/doc/clamav-0.96.2/test/clam_ISmsi_int.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.rtf: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.7z: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/.split/split.clam_IScab_ext.exeaa: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/.split/split.clam_IScab_int.exeaa: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-v3.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.bz2: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.pdf: BC.PDF.Parser-4.MalwareFound FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-pespin.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ea06.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.d64.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.szdd: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bin-be.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.odc.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_IScab_int.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-mew.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-aspack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.mbox.base64: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.mbox.uu: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ole.doc: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-v2.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.arj: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.newc.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-wwpack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bz2.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ea05.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.tar.gz: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.impl.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-upx.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.chm: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.binhex: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-petite.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ppt: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_ISmsi_ext.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.mail: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bin-le.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.sis: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-nsis.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.tnef: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_cache_emax.tgz: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-upack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-yc.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_IScab_ext.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.cab: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.html: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-fsg.exe: ClamAV-Test-File FOUND

ChAnton ★★
() автор топика
Ответ на: комментарий от ChAnton

а сами подумайте ? тестовые файлы, для того чтобы убедиться в том, что clamav работает, загружает базы и способен по ним что-то определять.

Sylvia ★★★★★
()
Ответ на: комментарий от zakot

>Это плохой знак Вирусная эпидемия о которой говорил Касперский началась???

Каспер таки осили написать рабочий вирус для linux:)

petrosyan ★★★★★
()

Ну вот, а вы в соседнем топике спрашивали

Как защитить свою VPS от хостера?


Один же вывод - купить свой сервер и поставить на colocation доверенному провайдеру.

Umberto ★☆
()
Ответ на: комментарий от ChAnton

На основании того что то просто тестовые файлы, то бишь типа вирус в лабораторных условиях, а вот настоящей чумы пока не было

zakot
()
Ответ на: комментарий от zakot

Да нет, Вы почитайте внимательней, я писал выше НЕ ТОЛЬКО о тестовых файлах. Я писал также о бинарниках в /bin, и многом другом. Примет с тестовыми файлами вообще отдельный случай)))

ChAnton ★★
() автор топика
Ответ на: комментарий от zakot

Есть подозрениме. Но это тлько предположение. Так как инцендент очевиден.

ChAnton ★★
() автор топика
Ответ на: комментарий от ChAnton

Учите rpm «rpm -q -f /bin/hostname», что бы не гадать какой пакет. Или ищите на rpm.pbone.net.

Ещё можно сделать «rpm -V -a» для проверки md5 файлов, на тот случай, если бинарники копировались поверх, без модификации rpm базы.

yum reinstall coreutils ЕМНИП, это опасно, yum reinstall сначала удалит пакет, потом попробует скачать точно такой же. Если скачать не получится, то ничего не установится. А удалённые файлы обратно не восстановятся.

Как вариант,

«rpm -e --justdb --nodeps ИМЯ_пакета» --- удалить пакет только из базы

«yum -y install ИМЯ_пакета» --- установить пакет.

Или сначала руками скачивать rpm, а потом устанавливать.

mky ★★★★★
()
Ответ на: комментарий от Sylvia

>rootkit hunter chkrootkit

Ну что же вы такое советуете человеку. Это безобразие выдает множество неверных уведомлений безопасности даже на абсолютно чистых системах.

Enoch
()
Ответ на: комментарий от Enoch

>Ну что же вы такое советуете человеку. Это безобразие выдает множество неверных уведомлений безопасности даже на абсолютно чистых системах.

дык их читать надо, они не неверные, а подозрительные.

(ну например кто-то пересобрал coreutils, например я. вот мне и докладывают. А как иначе? А если не я? А если su кто-то фиксил?)

drBatty ★★
()
Ответ на: комментарий от Cancellor

>Не, ну я конечно слышал про каспера, который сносил нафик shell32.dll и т.п... Выходит, прогресс и до нас добрался, что не может не радовать.

У одного товарища как-то доктор веб сам себя вирусом посчитал и пытался удалить. А не получалось, ибо «процесс занят». В итоге он сыпал сообщениями через каждые минуты 2...

Zhbert ★★★★★
()
Ответ на: комментарий от Enoch

>Мне chkrootkit на свежеустановленной FreeBSD находил руткиты.

именно руткиты? или предупреждения? какие?

Вы правы лишь в том, что chkrootkit это не антикаспервирусовского, там иногда думать надо. к тому же, антикаспер ищет сигнатуры вирусов, а chkrootkit проверяет целостность файлов, права, и проч. Ну и полсотни сигнатур тоже.

PS: проверил - ничего у меня не нашла.

drBatty ★★
()
Ответ на: комментарий от Enoch

дык кто спорит? бывает конечно. Помню в Mandriva так вообще права на корень сами по себе (после обновления) сменились на 1777. Дык об этом почти никто не узнал. Я сам только случайно набрал ls -la, и удивился, что корень у зелёный как /tmp. Ну ошиблись... Как такие вещи отлавливать? А если вправду - атака?

drBatty ★★
()
Ответ на: комментарий от drBatty

>Как такие вещи отлавливать? А если вправду - атака?

Я же говорил, md5-суммы собрать всех важных скриптов и бинарников и хранить отдельно. Периодически проверять, например. Но это мое мнение.

Enoch
()
Ответ на: комментарий от Enoch

>Я же говорил, md5-суммы собрать всех важных скриптов и бинарников и хранить отдельно. Периодически проверять, например. Но это мое мнение.

я так и делаю.(у меня скрипт есть) и mount -o ro на /usr, и nosuid,nodev,noexec на всё остальное, и ещё некоторые вещи, но это уже паранойя. На большинстве систем это излишне ИМХО. А если админ не понимает, что там ему chkrootkit пишет, то ему никакая SHA-512 не поможет.

Кстати, в Mandriva впилили msec - проверка прав, и (вроде-бы) md5. Хотя может уже и выпилили. Причём впилили по умолчанию.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.