On Tue, Oct 14, 2008 at 09:16:48PM +0300, Eugine Kosenko wrote: > Система -- ALT Linux Server 4.0 Извиняюсь за, возможно, > ламерский вопрос, но недавно был обнаружен взлом сервера.
Дырявый веб-скрипт или слабый логин подобрали? (выяснение начинается с kill -STOP выясненного при помощи netstat -pan и рассмотрения /proc/$H4X0R_PID/fd/, а также прав на обнаруженный скрипт или бинарник) > Кое-что удалось почистить с помощью netstat/lsof На будущее: если есть подозрение, что получили не только шелл, а и рута, может пригодиться pstree. Похоже, пока мало в каких руткитах учтено существование этой утилиты. Ну и даже если контейнер один -- его крайне осмысленно засунуть под ovz. > но даже после этого nmap выдает: Провайдер, как уже и сказали. > Конкретно взлом был обнаружен на порту 8000, соответствующий > сервис был обнаружен через netstat и прибит, результат проверен > через telnet. Теперь ни по этому ни по остальным портам > netstat -anp и lsof -i никакой информации не дают. Ты теперь созрел сделать полиси цепочки INPUT вида DROP или в эквиваленте с REJECT --reject-with icmp-port-unreachable? :) > Еще раз извиняюсь за, возможно, глупые вопросы. Ничего, в таких делах лучше переспросить, чем перегадать. -- ---- WBR, Michael Shigorin <[EMAIL PROTECTED]> ------ Linux.Kiev http://www.linux.kiev.ua/ _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
