Re: how to fix invected system
On 2012.02.08 at 12:35:43 +0300, v...@lab127.karelia.ru wrote: > Переустановить похоже не получится. > Что то с "dpkg: не удалось обработать параметр > /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack):" > > Это значит конец dpkg? Если попробовать его вручную заменить, где > бинарник взять? Скорее всего это всего лишь атрибут immutable на зараженном файле. Снимать который командой chattr все равно понадобится, даже если лечить систему по-человечески - загрузившись с live cd и примонитровав зараженный диск в /mnt -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120208180250.ga22...@wagner.pp.ru
Re: how to fix invected system
On 2012.02.08 at 11:37:19 +0300, v...@lab127.karelia.ru wrote: > Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления > инфицированной системы нет. > Буду благодарен за помощь. Первое что сделать - загрузиться с чистого носителя. Можно с инсталляционного CD/DVD, можно с какого-нибудь Knoppix. И ничего не делать в инфицированной системе. > > -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120208175818.ga22...@wagner.pp.ru
Re: how to fix invected system
В Срд, 08/02/2012 в 12:35 +0300, v...@lab127.karelia.ru пишет: > Переустановить похоже не получится. > >> # chkrootkit|grep INFE > >> Checking `ifconfig'... INFECTED > >> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > >> Checking `netstat'... INFECTED > >> Checking `pstree'... INFECTED > >> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > >> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > >> Checking `top'... INFECTED Пройдитесь debsums на всякий случай, чтобы узнать отличаются ли файлы в системе от файлов, идущих в пакетах. Отдельно взятые файлы можно и вручную проверить, на всякий случай Ибо "In addition to running chkrootkit, more specific tests should always be performed." P.S.: Сорри за письмо в личку -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1328692768.2363.131.ca...@admont.skola.svefi.net
Re: how to fix invected system
man apt-get. apt-get download blah-blah-blah. там распаковывай и вручную ставь. 8 февраля 2012 г. 15:35 пользователь v...@lab127.karelia.ru написал: > Переустановить похоже не получится. > Что то с "dpkg: не удалось обработать параметр > /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack):" > > Это значит конец dpkg? Если попробовать его вручную заменить, где бинарник > взять? > > # apt-get --reinstall install procps > Чтение списков пакетов... Готово > Построение дерева зависимостей > Чтение информации о состоянии... Готово > обновлено 0, установлено 0 новых пакетов, переустановлено 1 переустановлено, > для удаления отмечено 0 пакетов, и 64 пакетов не обновлено. > Необходимо скачать 249 kБ архивов. > После данной операции, объём занятого дискового пространства возрастёт на 0 > B. > Получено:1 http://ftp.ru.debian.org/debian/ squeeze/main procps amd64 > 1:3.2.8-9 [249 kB] > Получено 249 kБ за 0с (563 kБ/c) > (Чтение базы данных ... на данный момент установлено 45575 файлов и > каталогов.) > Подготовка к замене пакета procps 1:3.2.8-9 (используется файл > .../procps_1%3a3.2.8-9_amd64.deb) ... > Распаковывается замена для пакета procps ... > dpkg: не удалось обработать параметр > /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): > не удалось создать резервную ссылку на <<./bin/ps>> перед установкой новой > версии: Операция не позволяется > configured to not write apport reports > dpkg-deb: подпроцесс вставка завершён по сигналу (Обрыв канала) > dpkg: ошибка при очистке - > подпроцесс новый сценарий post-removal возвратил код ошибки 1 > При обработке следующих пакетов произошли ошибки: > /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb > E: Sub-process /usr/bin/dpkg returned an error code (1) > > > > 08.02.2012 11:16, Kirill Shilov пишет: > >> восстанови бинарники вручную, либо переустанови все затронутые пакеты >> (используя apt-file можно узнать кто где живет). >> >> 2012/2/8 v...@lab127.karelia.ru: >>> >>> Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления >>> инфицированной системы нет. >>> Буду благодарен за помощь. >>> >>> squeeze >>> >>> # chkrootkit|grep INFE >>> Checking `ifconfig'... INFECTED >>> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. >>> Checking `netstat'... INFECTED >>> Checking `pstree'...INFECTED >>> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. >>> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. >>> Checking `top'... INFECTED >>> find: /proc/kcore: Value too large for defined data type >>> Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. >>> ERROR: Obsolete k option not supported. >>> * simple selection * * selection by list >>> * >>> -A all processes -C by command name >>> -N negate selection -G by real group ID (supports >>> names) >>> -a all w/ tty except session leaders -U by real user ID (supports names) >>> -d all except session leaders -g by session leader OR by group >>> name >>> -e all processes -p by process ID >>> T all processes on this terminal -s processes in the sessions given >>> a all w/ tty, including other users -t by tty >>> g all, even group leaders! -u by effective user ID (supports >>> names) >>> r only running processes U processes for specified users >>> x processes w/o controlling ttys t by tty >>> *** output format ** *** long options >>> *** >>> -o,o user-defined -f full--Group --User --pid --cols >>> -j,j job control s signal --group --user --sid --rows >>> -O,O preloaded -o v virtual memory --cumulative --format --deselect >>> -l,l long u user-oriented --sort --tty --forest --version >>>X registers --heading --no-heading >>> * misc options * >>> -V,V show version L list format codes f ASCII art forest >>> -m,m show threads S children in sum-y change -l format >>> -n,N set namelist file c true command name n numeric WCHAN,UID >>> -w,w wide outpute show environment -H process heirarchy >>> >>> >>> >>> -- >>> Alexander Volkov >>> Senior java developer/architect >>> >>> mob: +79215283540 >>> skype: v2003_2...@mail.ru >>> > > > -- > Alexander Volkov > Senior java developer/architect > > mob: +79215283540 > skype: v2003_2...@mail.ru > >
Re: how to fix invected system
Переустановить похоже не получится. Что то с "dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack):" Это значит конец dpkg? Если попробовать его вручную заменить, где бинарник взять? # apt-get --reinstall install procps Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово обновлено 0, установлено 0 новых пакетов, переустановлено 1 переустановлено, для удаления отмечено 0 пакетов, и 64 пакетов не обновлено. Необходимо скачать 249 kБ архивов. После данной операции, объём занятого дискового пространства возрастёт на 0 B. Получено:1 http://ftp.ru.debian.org/debian/ squeeze/main procps amd64 1:3.2.8-9 [249 kB] Получено 249 kБ за 0с (563 kБ/c) (Чтение базы данных ... на данный момент установлено 45575 файлов и каталогов.) Подготовка к замене пакета procps 1:3.2.8-9 (используется файл .../procps_1%3a3.2.8-9_amd64.deb) ... Распаковывается замена для пакета procps ... dpkg: не удалось обработать параметр /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb (--unpack): не удалось создать резервную ссылку на «./bin/ps» перед установкой новой версии: Операция не позволяется configured to not write apport reports dpkg-deb: подпроцесс вставка завершён по сигналу (Обрыв канала) dpkg: ошибка при очистке - подпроцесс новый сценарий post-removal возвратил код ошибки 1 При обработке следующих пакетов произошли ошибки: /var/cache/apt/archives/procps_1%3a3.2.8-9_amd64.deb E: Sub-process /usr/bin/dpkg returned an error code (1) 08.02.2012 11:16, Kirill Shilov пишет: восстанови бинарники вручную, либо переустанови все затронутые пакеты (используя apt-file можно узнать кто где живет). 2012/2/8 v...@lab127.karelia.ru: Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. squeeze # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'...INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED find: /proc/kcore: Value too large for defined data type Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. ERROR: Obsolete k option not supported. * simple selection * * selection by list * -A all processes -C by command name -N negate selection -G by real group ID (supports names) -a all w/ tty except session leaders -U by real user ID (supports names) -d all except session leaders -g by session leader OR by group name -e all processes -p by process ID T all processes on this terminal -s processes in the sessions given a all w/ tty, including other users -t by tty g all, even group leaders! -u by effective user ID (supports names) r only running processes U processes for specified users x processes w/o controlling ttys t by tty *** output format ** *** long options *** -o,o user-defined -f full--Group --User --pid --cols -j,j job control s signal --group --user --sid --rows -O,O preloaded -o v virtual memory --cumulative --format --deselect -l,l long u user-oriented --sort --tty --forest --version X registers --heading --no-heading * misc options * -V,V show version L list format codes f ASCII art forest -m,m show threads S children in sum-y change -l format -n,N set namelist file c true command name n numeric WCHAN,UID -w,w wide outpute show environment -H process heirarchy -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f3241ef.6060...@lab127.karelia.ru
Re: how to fix invected system
восстанови бинарники вручную, либо переустанови все затронутые пакеты (используя apt-file можно узнать кто где живет). 2012/2/8 v...@lab127.karelia.ru : > Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления > инфицированной системы нет. > Буду благодарен за помощь. > > squeeze > > # chkrootkit|grep INFE > Checking `ifconfig'... INFECTED > Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > Checking `netstat'... INFECTED > Checking `pstree'... INFECTED > Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > Checking `top'... INFECTED > find: /proc/kcore: Value too large for defined data type > Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. > ERROR: Obsolete k option not supported. > * simple selection * * selection by list * > -A all processes -C by command name > -N negate selection -G by real group ID (supports names) > -a all w/ tty except session leaders -U by real user ID (supports names) > -d all except session leaders -g by session leader OR by group name > -e all processes -p by process ID > T all processes on this terminal -s processes in the sessions given > a all w/ tty, including other users -t by tty > g all, even group leaders! -u by effective user ID (supports > names) > r only running processes U processes for specified users > x processes w/o controlling ttys t by tty > *** output format ** *** long options *** > -o,o user-defined -f full --Group --User --pid --cols > -j,j job control s signal --group --user --sid --rows > -O,O preloaded -o v virtual memory --cumulative --format --deselect > -l,l long u user-oriented --sort --tty --forest --version > X registers --heading --no-heading > * misc options * > -V,V show version L list format codes f ASCII art forest > -m,m show threads S children in sum -y change -l format > -n,N set namelist file c true command name n numeric WCHAN,UID > -w,w wide output e show environment -H process heirarchy > > > > -- > Alexander Volkov > Senior java developer/architect > > mob: +79215283540 > skype: v2003_2...@mail.ru >
how to fix invected system
Добрый день! Есть проблема (см. ниже) что делать? Опыта исправления инфицированной системы нет. Буду благодарен за помощь. ** squeeze # chkrootkit|grep INFE Checking `ifconfig'... INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `netstat'... INFECTED Checking `pstree'...INFECTED Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. Checking `top'... INFECTED find: /proc/kcore: Value too large for defined data type Warning: /boot/System.map-2.6.32-5-amd64 has an incorrect kernel version. ERROR: Obsolete k option not supported. * simple selection * * selection by list * -A all processes -C by command name -N negate selection -G by real group ID (supports names) -a all w/ tty except session leaders -U by real user ID (supports names) -d all except session leaders -g by session leader OR by group name -e all processes -p by process ID T all processes on this terminal -s processes in the sessions given a all w/ tty, including other users -t by tty g all, even group leaders! -u by effective user ID (supports names) r only running processes U processes for specified users x processes w/o controlling ttys t by tty *** output format ** *** long options *** -o,o user-defined -f full--Group --User --pid --cols -j,j job control s signal --group --user --sid --rows -O,O preloaded -o v virtual memory --cumulative --format --deselect -l,l long u user-oriented --sort --tty --forest --version X registers --heading --no-heading * misc options * -V,V show version L list format codes f ASCII art forest -m,m show threads S children in sum-y change -l format -n,N set namelist file c true command name n numeric WCHAN,UID -w,w wide outpute show environment -H process heirarchy -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru