On 7/18/05, gaby dinu wrote:
> am dat un restart la server si procesul exista in continuare
> de unde naiba porneste(sau cine il porneste).
... depinde de cine ti-a intrat pe masina.
1. In principiu tre sa fie si vre-un rootkit instalat. Vezi cu
"chkrootkit" sau cu "rkhunter", asta in cazul in care nu ai modificari
prin binare, e posibil sa nu poti compila respectivele pe masina.
2. Vezi cu "lsof". In principiu majoritatea ascund destul de bine
fisierele, deci oricum ai de furca. De multe ori o sa le gasesti prin
/tmp ...
Daca faci telnet pe respectivul port, ce raspunde masina ? Ma
refer daca e un simplu bot de irc ... sau ceva mai "avansat" :) Vezi
ce conexiuni ai de la respectiva masina, eventual ce conexiuni ai pe
portul ala... eventual de unde :)
Pregateste-ti o masina de rezerva in locul la aia, si ... nu mai
da cu restartu'. Carpeste ce se poate ... inchide ce porturi mai ai
deschise aiurea, eventual filtreaza pe masina spre internet (daca mai
exista vreuna). Lasa deschis efectiv doar ce ai nevoie. Daca o ai in
productie e mai bine sa refaci sistemul pe alta masina si sa il
schimbi integral. Nu de alta, dar ai toate sansele ca la restart sa nu
mai plece ;) Prietenii stiu de ce :)
---
Detalii despre listele noastre de mail: http://www.lug.ro/
