Peter Pentchev wrote:
On Thu, Feb 24, 2005 at 12:46:27AM +0200, raptor wrote:Един готин начин да стабилизираш подобна машина поне до момента в който ще имаш фзически достъп до нея е да архивираш /bin, /sbin, /usr/bin и /usr/sbin от друга машина подобна на тази и да ги качиш на root-натата. Разархивираш ги в някаква директория. След което затриваш горните директории, за препоръчване с mc или друг подобен конзолен файлов менажер(не ср защото вече е инфектиран така да се каже). Принципно няма д аможеш да си изтриеш /bin/bash ... И така като ти е изтрито почти всичко копираш "чистите" файлове на съответните места(неможеш да разчиташ 100%, че ще са останали чисти, но все пак се надяваш :)). След това сменяш шел-а на root примернос с ash. Излизаш от машината и влизаш наново... Изтриваш и bash и слагаш на негово място "чистият" bash. Естествено правиш всичко това при спряни всички демони с изключение на sshd.
probwai s find .. kato tyrdsish za failowe accesswani i/ili
modificirani w toq time-interwal.. ako si mu kazal pri moutwane da prawi atime..
Разбира се, тук пак остава въпросът за това, че ако нещата са си свършили работата както трябва и/или са пуснали когото трябва да я довърши, то тогава, както вече спомена и Ирена, не можеш да имаш доверие на нито една от програмите върху диска си - и find може да е подменен - било от някой кажи-речи стандартен rootkit, било от някой, който е решил да си доразвие стандартните...
Поздрави,
Петър
И пак искам да намекна, че това НЕ решава проблема, но ти дава възможност да пооправиш машината, поне докато успееш да се добереш до машината.
Поздрави М.Маринов
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
