how to fix invected system
Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. ** squeeze # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'...INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED find: /proc/kcore: Value too large for defined data type Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. ERROR: Obsolete k option not supported. * simple selection * * selection by list * -A all processes -C by command name -N negate selection -G by real group ID (supports names) -a all w/ tty except session leaders -U by real user ID (supports names) -d all except session leaders -g by session leader OR by group name -e all processes -p by process ID T all processes on this terminal -s processes in the sessions given a all w/ tty, including other users -t by tty g all, even group leaders! -u by effective user ID (supports names) r only running processes U processes for specified users x processes w/o controlling ttys t by tty *** output format ** *** long options *** -o,o user-defined -f full--Group --User --pid --cols -j,j job control s signal --group --user --sid --rows -O,O preloaded -o v virtual memory --cumulative --format --deselect -l,l long u user-oriented --sort --tty --forest --version X registers --heading --no-heading * misc options * -V,V show version L list format codes f ASCII art forest -m,m show threads S children in sum-y change -l format -n,N set namelist file c true command name n numeric WCHAN,UID -w,w wide outpute show environment -H process heirarchy -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru
Re: how to fix invected system
восстанови бинарники вручную, либо переустанови все затронутые пакеты (используя apt-file можно узнать кто где живет). 2012/2/8 v...@lab127.karelia.ru v...@lab127.karelia.ru: Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. squeeze # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED find: /proc/kcore: Value too large for defined data type Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. ERROR: Obsolete k option not supported. * simple selection * * selection by list * -A all processes -C by command name -N negate selection -G by real group ID (supports names) -a all w/ tty except session leaders -U by real user ID (supports names) -d all except session leaders -g by session leader OR by group name -e all processes -p by process ID T all processes on this terminal -s processes in the sessions given a all w/ tty, including other users -t by tty g all, even group leaders! -u by effective user ID (supports names) r only running processes U processes for specified users x processes w/o controlling ttys t by tty *** output format ** *** long options *** -o,o user-defined -f full --Group --User --pid --cols -j,j job control s signal --group --user --sid --rows -O,O preloaded -o v virtual memory --cumulative --format --deselect -l,l long u user-oriented --sort --tty --forest --version X registers --heading --no-heading * misc options * -V,V show version L list format codes f ASCII art forest -m,m show threads S children in sum -y change -l format -n,N set namelist file c true command name n numeric WCHAN,UID -w,w wide output e show environment -H process heirarchy -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru
Re: how to fix invected system
Переустановить похоже не получится. Что то с dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): Это значит конец dpkg? Если попробовать его вручную заменить, где бинарник взять? # apt-get --reinstall install procps Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово обновлено 0, установлено 0 новых пакетов, переустановлено 1 переустановлено, для удаления отмечено 0 пакетов, и 64 пакетов не обновлено. Необходимо скачать 249 kБ архивов. После данной операции, объём занятого дискового пространства возрастёт на 0 B. Получено:1 http://ftp.ru.debian.org/debian/ squeeze/main procps amd64 1:3.2.8-9 [249 kB] Получено 249 kБ за 0с (563 kБ/c) (Чтение базы данных ... на данный момент установлено 45575 файлов и каталогов.) Подготовка к замене пакета procps 1:3.2.8-9 (используется файл .../procps_1%3a3.2.8-9_amd64.deb) ... Распаковывается замена для пакета procps ... dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): не удалось создать резервную ссылку на «./bin/ps» перед установкой новой версии: Операция не позволяется configured to not write apport reports dpkg-deb: подпроцесс вставка завершён по сигналу (Обрыв канала) dpkg: ошибка при очистке - подпроцесс новый сценарий post-removal возвратил код ошибки 1 При обработке следующих пакетов произошли ошибки: /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb E: Sub-process /usr/bin/dpkg returned an error code (1) 08.02.2012 11:16, Kirill Shilov пишет: восстанови бинарники вручную, либо переустанови все затронутые пакеты (используя apt-file можно узнать кто где живет). 2012/2/8 v...@lab127.karelia.ruv...@lab127.karelia.ru: Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. squeeze # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'...INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED find: /proc/kcore: Value too large for defined data type Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. ERROR: Obsolete k option not supported. * simple selection * * selection by list * -A all processes -C by command name -N negate selection -G by real group ID (supports names) -a all w/ tty except session leaders -U by real user ID (supports names) -d all except session leaders -g by session leader OR by group name -e all processes -p by process ID T all processes on this terminal -s processes in the sessions given a all w/ tty, including other users -t by tty g all, even group leaders! -u by effective user ID (supports names) r only running processes U processes for specified users x processes w/o controlling ttys t by tty *** output format ** *** long options *** -o,o user-defined -f full--Group --User --pid --cols -j,j job control s signal --group --user --sid --rows -O,O preloaded -o v virtual memory --cumulative --format --deselect -l,l long u user-oriented --sort --tty --forest --version X registers --heading --no-heading * misc options * -V,V show version L list format codes f ASCII art forest -m,m show threads S children in sum-y change -l format -n,N set namelist file c true command name n numeric WCHAN,UID -w,w wide outpute show environment -H process heirarchy -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f3241ef.6060...@lab127.karelia.ru
Re: how to fix invected system
man apt-get. apt-get download blah-blah-blah. там распаковывай и вручную ставь. 8 февраля 2012 г. 15:35 пользователь v...@lab127.karelia.ru v...@lab127.karelia.ru написал: Переустановить похоже не получится. Что то с dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): Это значит конец dpkg? Если попробовать его вручную заменить, где бинарник взять? # apt-get --reinstall install procps Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово обновлено 0, установлено 0 новых пакетов, переустановлено 1 переустановлено, для удаления отмечено 0 пакетов, и 64 пакетов не обновлено. Необходимо скачать 249 kБ архивов. После данной операции, объём занятого дискового пространства возрастёт на 0 B. Получено:1 http://ftp.ru.debian.org/debian/ squeeze/main procps amd64 1:3.2.8-9 [249 kB] Получено 249 kБ за 0с (563 kБ/c) (Чтение базы данных ... на данный момент установлено 45575 файлов и каталогов.) Подготовка к замене пакета procps 1:3.2.8-9 (используется файл .../procps_1%3a3.2.8-9_amd64.deb) ... Распаковывается замена для пакета procps ... dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): не удалось создать резервную ссылку на ./bin/ps перед установкой новой версии: Операция не позволяется configured to not write apport reports dpkg-deb: подпроцесс вставка завершён по сигналу (Обрыв канала) dpkg: ошибка при очистке - подпроцесс новый сценарий post-removal возвратил код ошибки 1 При обработке следующих пакетов произошли ошибки: /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb E: Sub-process /usr/bin/dpkg returned an error code (1) 08.02.2012 11:16, Kirill Shilov пишет: восстанови бинарники вручную, либо переустанови все затронутые пакеты (используя apt-file можно узнать кто где живет). 2012/2/8 v...@lab127.karelia.ruv...@lab127.karelia.ru: Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. squeeze # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'...INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED find: /proc/kcore: Value too large for defined data type Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. ERROR: Obsolete k option not supported. * simple selection * * selection by list * -A all processes -C by command name -N negate selection -G by real group ID (supports names) -a all w/ tty except session leaders -U by real user ID (supports names) -d all except session leaders -g by session leader OR by group name -e all processes -p by process ID T all processes on this terminal -s processes in the sessions given a all w/ tty, including other users -t by tty g all, even group leaders! -u by effective user ID (supports names) r only running processes U processes for specified users x processes w/o controlling ttys t by tty *** output format ** *** long options *** -o,o user-defined -f full--Group --User --pid --cols -j,j job control s signal --group --user --sid --rows -O,O preloaded -o v virtual memory --cumulative --format --deselect -l,l long u user-oriented --sort --tty --forest --version X registers --heading --no-heading * misc options * -V,V show version L list format codes f ASCII art forest -m,m show threads S children in sum-y change -l format -n,N set namelist file c true command name n numeric WCHAN,UID -w,w wide outpute show environment -H process heirarchy -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru
Re: how to fix invected system
В Срд, 08/02/2012 в 12:35 +0300, v...@lab127.karelia.ru пишет: Переустановить похоже не получится. # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED Пройдитесь debsums на всякий случай, чтобы узнать отличаются ли файлы в системе от файлов, идущих в пакетах. Отдельно взятые файлы можно и вручную проверить, на всякий случай Ибо In addition to running chkrootkit, more specific tests should always be performed. P.S.: Сорри за письмо в личку -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1328692768.2363.131.ca...@admont.skola.svefi.net
Re: how to fix invected system
On 2012.02.08 at 11:37:19 +0300, v...@lab127.karelia.ru wrote: Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. Первое что сделать - загрузиться с чистого носителя. Можно с инсталляционного CD/DVD, можно с какого-нибудь Knoppix. И ничего не делать в инфицированной системе. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120208175818.ga22...@wagner.pp.ru
Re: how to fix invected system
On 2012.02.08 at 12:35:43 +0300, v...@lab127.karelia.ru wrote: Переустановить похоже не получится. Что то с dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): Это значит конец dpkg? Если попробовать его вручную заменить, где бинарник взять? Скорее всего это всего лишь атрибут immutable на зараженном файле. Снимать который командой chattr все равно понадобится, даже если лечить систему по-человечески - загрузившись с live cd и примонитровав зараженный диск в /mnt -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120208180250.ga22...@wagner.pp.ru
Re: APT и источники
On Sun, Feb 05, 2012 at 05:10:11PM +0200, Sergijoo wrote: В Sun, 5 Feb 2012 15:47:53 +0400 Stanislav Maslovski stanislav.maslov...@gmail.com написал: Можно иметь два отдельных source.list При этом нужно каждый раз делать update. То есть при переключении на диски нужно будет перелопатить всю стопку дисков для создания базы кеша. А при переключении на инет скачивать около 5 Мб для того же кеша, что при моём соединении займёт 10 минут :) Нужно другое решения. Если это проблема - храни и списки в разных местах: apt-get -o Dir::Etc::SourceList=/etc/apt/sources.cd -o Dir::State::Lists=/var/lib/apt/lists/cd ... -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120208211516.GA10452@kaiba.homelan