btw μόλις ανακάλυψα αυτό: http://www.bigismore.com/web-server-security/using-unhide-with-rkhunter/
O/H Konstantinos Togias έγραψε: > 2008/5/8 sztaasz <[EMAIL PROTECTED]>: > >> Με βοήθεια από το *perl vulnerability* >> http://ubuntuforums.org/archive/index.php/t-634474.html >> παραφράζω αυτό που κάνω σε περίπτωση που υποπτεύομαι κατι περίεργο >> (rootkit): >> >> 1. Βλέπω για ποιο αρχείο υπάρχει προειδοποίση από τον rkhunter. (π.χ. >> /usr/bin/perl) >> 2. Πάω στο http://packages.ubuntu.com/ όπου και βρίσκω το συγκεκριμένο >> πακέτο που υπαρχει το αρχείο.(βάζω τη θέση και το όνομα του αρχείου στη >> μηχανή αναζήτησης του ιστότοπου για να βρώ από τί πακέτα προήλθαν τα >> αρχεία. στην περίπτωση μας perl-base) >> 3.κατεβάζω τα πακέτα. >> 4 πιστοποιώ με την εντολή md5sum (π.χ. md5sum perl-base.deb) ότι τα >> πακέτα δεν εχουν αλλάξει κατα το κατεβασμα (md5sum checks είναι >> διαθέσιμα στο ίδιο site) . >> 5.Αποσυμπιέζω τα αρχεία (π.χ. ar -x perl-base.deb) >> 6.Συγκρίνω, με την εντολή sha1sum, το αρχείο που μόλις αποσυμπίεσα με >> αυτό που αναφέρει ο rkhunter ώς ύποπτο. >> 7.Αν τα sums, μεγέθη κτλ είναι ίδια για ΟΛΑ τα ύποπτα αρχεία τότε λέω >> στον rkhunter να μην ανησυχεί πλέον αφού μόλις επιβεβαίωσα οτι το αρχείο >> είναι έγκυρο. Οπότε και εφόσον είμαi σίγουρow ότι ελέγξα ΟΛΑ τα αρχεία >> στα οποία με προειδοποίησε ο rkhunter, εκτελώ: >> rkhunter --propupd >> >> jarlaxl >> >> > > <Paranoid mode> > Για να είμαστε σίγουροι ότι ο hacker δεν έχει πειράξει τα ίδια τα > binary των εντολών md5sum και sha1sum έτσι ώστε να μας λένε αυτό που > θα θέλαμε να ακούσουμε και όχι αυτό που συμβαίνει στην πραγματικότητα, > η παραπάνω διαδικασία γίνεται σε άλλο υπολογιστή που είμαστε σίγουροι > ότι δεν έχει πειραχτεί (πχ. φρεσκοστημένος, χωρις serivces ή και χωρίς > δίκτυο) όπου μεταφέρουμε τα ύποπτα αρχεία ή κατά προτίμηση κάνουμε απ' > ευθείας mount το σκληρό με τα ύποπτα αρχεία (τι γίνεται αν είναι > πειραγμένο και το cp έτσι ώστε να μας δίνει το αυθεντικό αρχείο, ενώ > το αρχείο πηγή είναι το πειραγμένο;;;) > </Paranoid mode> > > >> O/H Tsabolov Sergey έγραψε: >> >> >> >> > Δεν είναι τίποτα το παράξενο , μην ανήσυχης . >> > >> > δώσε την εντολή >> > >> > >> > sudo rkhunter --update >> > >> > >> > sudo rkhunter --help >> > >> > >> > O/H Stathis έγραψε: >> > >> >> Μόλις έβαλα την νέα έκδοση και αφού το έστησα περίπου όπως και η παλιά, >> >> έτρεξα την εντολή sudo rkhunter -c >> >> >> >> Αυτά που μου έβγαλε ήταν: >> >> >> >> /usr/bin/sudo [ Warning ] >> >> >> >> >> >> Performing filesystem checks >> >> Checking /dev for suspicious file types [ Warning ] >> >> Checking for hidden files and directories [ Warning ] >> >> >> >> Τί έχουμε σε αυτή την περίπτωση; >> >> >> >> Ευχαριστώ, >> >> Στάθης >> >> -- Ubuntu-gr mailing [EMAIL PROTECTED] >> >> If you do not want to receive any more messages from the ubuntu-gr >> mailing list, please follow this link and choose >> unsubscribe:https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr >> >> >> >> >> >> >> >> >> -- >> jL enterprises. one life (?) one moment (?) >> >> >> >> -- >> Ubuntu-gr mailing list >> >> >> [email protected] >> >> If you do not want to receive any more messages from the ubuntu-gr mailing >> list, please follow this link and choose unsubscribe: >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr >> >> > > > > -- jL enterprises. one life (?) one moment (?) -- Ubuntu-gr mailing list [email protected] If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
