On 04-Dec-2003, Thu, 23:20:37, Victor B. Wagner <[EMAIL PROTECTED]> wrote:
> > Вот тут на одной из машин кажется rootkit, хотелось-бы > > проконсультироватся... > > просто проверка: > > You have 4 process hidden for ps command > > > > Как однако взлом дебиановских серверов всех напугал! Да не так что-бы сильно напугал - было ясно, что взлом произошел не через сеть, а через дырку которая доступна с локального шела. Ну а на эту машину с которой я разбирался только небольшой круг доверенных людей ходит. Так что это было вряд-ли, просто подумал мало-ли какой новый червяк завелся. > Я тут тоже себе chkrootkit поставил, и ядро сейчас собираю посредством > наложения 2.4.23-го патча с kernel.org на дебиановский > kernel-source-2.4.22. Не собралось однако. Если завтра > packages.debian.org не подымется, придется ручками по режектам лазить. > Или проще взять upstream sources и наложить на них ACPI-патч посвежее? > > > > root 0 0.0 0.0 0 0 ? SWN 23:56 0:00 > > [ksoftirqd_CPU0] > > root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kswapd] > > root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [bdflush] > > root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kupdated] > > Вот они родимые. Все четыре. Кернельные нити это. Это известная паранойя > chkrootkit-а, что он кернельные нити за трояна держит. Просто это как-то не сильно документировано в chkrootkit. То есть про нити в 2.6 - там написанно, а вот про эти изменения в в procps - еще нет. Просто на этой машине какой-то странный глюк с mc происходит. Из под обычного непривелегированного пользователя - все работает нормально, а вот из под root-а mc виснет при вхождении в директорию (любую). По strace висит на каком-то select-е и судя по вызовам при зохождении в директорию он порожденному шелу команды правильные передает и читает от него. Ладно, на счет mc - буду думать. P.S. Касаемо взломов - тут человек один на тестовую машинку под unstable поставил prelink (по идее должно ускорять загрузку бинарников за счет какой-то оптимизации библиотек), так эта фиговина в cron прописывается на еженедельный запуск. Человек благополучно уехал в отпуск, через несколько дней prelink запустился изменил (с оптимизировал все или почти все бинарники) Ну а debsums начал выдавать то, что изменились практически все бинарники в системе - я спешно переставил машину, сохранив конфиги из /etc/ (в том числе и prelink) и через неделю опять "взлом" с подменой всех бинарников. В общем и целом не знал чего и думать, потом посморел что и когда по крону запускалось - понял что к чему. Так что если решили использовать prelink - нужно большими буквами писать, что всякие системы IDS основанные на контрольных суммах файлов будут срабатывать достаточно регулярно. -- With Best, | http://www.excom.spb.su/~andrey Andrey Chernomyrdin | mailto:[EMAIL PROTECTED]
