LINUX.ORG.RU
решено ФорумSecurity

Решил проверить машину на «вирусы»


0

4

Система ScientificLinux 6.4 (клон RHEL). Используется чисто для web-серфинга (все порты закрыты).

Запустил 'rpm -Va' и … $%^$%^!!! :

1. Отсутствует несколько тысяч файлов (выборочно файлы из каталогов /usr/share/doc, /usr/share/locale, /usr/share/info).

2. Не совпадают контрольные суммы нескольких десятков библиотек и исполняемых файлов.

3. Разрешения каталогов /lib, /usr, /usr/lib - rwxrwxrwx !

по п.1. Грешил на то, что ставил с LiveCD (потерли документацию для уменьшения размера), но поставив в виртуалку и накатив обновления ничего такого не увидел.

по. п.2 Скорее всего prelink (файлов мало потому что давно не запускал), но 'prelink -u -all' все не исправил. К сожалению, так торопился все исправить, что не сравнил предупреждения об изменении файлов prelink-ом и файлами у которых не совпали контрольные суммы.

Ну а п.3 просто аут.

На второй машине то же самое, кроме п.3. Машина к интернету вообще не подключена.

Не у кого такого не было?

★★★★★
OpenVPN over WLAN
В открытый доступ выложили материалы хакерских конференций defcon

Можно подробнее о том что же случилось? Ты хотел потсвать антивирус RPM-ом и получил ошибку? Или ты просто пользовался компом, запустил RPM, увидел странную ошибку, решил что вирусы? И теперь спрашиваешь нас как проверить компьютер на вирусы в линуксе?

ZenitharChampion ★★★★★
()

почему-то вспомнил про бамблбю

visual ★★★
()
Ответ на: комментарий от ZenitharChampion

ему антивирус сказал что контрольные суммы системных файлов не совпадают с теми которые находятся в бд антивируса.

snaf ★★★★★
()

п. 1. «Виновата» установка с LiveMiniCD, там тупо потерты лишние файлы. В отсутствующих только файлы из пакетов не обновлявшихся с момента установки.

п.2. Восстановить истину уже вряд ли удастся, вывод команды не сохранил. Была ли там «5» или «?» ручаться не могу. В выводе 'rpm -Va' файлы измененные prelink-ом помечаются как файлы с измененной длинной и не проверенной (?) md5 суммой.

п.3 Ищу падлу. Вряд ли, что-то из подписанных пакетов. Ищу в скриптах из того что пытался собрать из исходников со всяких github-ов, из под root-a только 'make install' делал.

P.S. Про «вирусы» – пытался пошутить.

arson ★★★★★
() автор топика
Ответ на: комментарий от Guest_now

На первом нет (был запущен, но был остановлен, почему уже точно не помню), на втором запущен.

Но вроде события изменения прав или файлов там не фиксируются.

arson ★★★★★
() автор топика
Ответ на: комментарий от arson

Но вроде события изменения прав или файлов там не фиксируются

Фиксируются если в конфиге указано. Попробуй с aureport поковырять. Вообще если права стоят 777 а были другие то это сам понимаешь, не спроста. Можешь за одно aide прикрутить, но мониторить придется каждый день. Могу посоветовать переустановить все пакеты с измененными файлами, но лучше сделать снимок системы и переустановить с нуля

Guest_now
()
Ответ на: комментарий от Guest_now

Reinstall я сразу сделал (о чем желею, надо было сначала поизучать). Aureport, aide посмотрю.

arson ★★★★★
() автор топика

1. Отсутствует несколько тысяч файлов (выборочно файлы из каталогов /usr/share/doc, /usr/share/locale, /usr/share/info).

документацию резал. Ты, или создатель твоей zборки. Патрег так не делает, и я тоже. А ты — ССЗБ.

2. Не совпадают контрольные суммы нескольких десятков библиотек и исполняемых файлов.

Каких именно? Конфиги, которые ты настраивал, и не должны совпадать, потому-что у тебя руки из жопы. Вангую, что ты правил конфиги в /usr/share/..., а надо было копию в /etc/ делать, или в свой хомячок.

3. Разрешения каталогов /lib, /usr, /usr/lib - rwxrwxrwx !

какая ФС? Может она тупо прав не умеет? Это тоже рукожопие.

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
OpenVPN over WLAN
Security
В открытый доступ выложили материалы хакерских конференций defcon