С линуксом вроде на ты, но порой случаются досадные ляпы.
Являюсь обладателем прославленного дистра RedHat 7.3 Valhalla
Болшая половина программ давно обновлена.
Apache старый остался, да я им не пользовался.
Возникла необходимость сделать web-сервер, да не просто, а еще и https...
Настроил и через пару недель меня ломанули... :((((
Да еще руткита запулили...
Спасло одно, web-сервер стоит за файерволлом, на файере сделан порт-маппинг, на 80, 443 порты.
SSH-демона товарищи запустить не смогли...Полазав по инету, наткунлся на это:
http://www.webhostingtalk.com/showthread.php?s=0af6270f29233...
Сделал как по писанному. Все ок.
Удалил /usr/sbin/xntps - жопа, ниче не пашет...
Почесав от такого удара поседевшую голову, стал разбираться.
Эта штучка (или какие-то негодяи) заразили х$%#^ тучу программ.
Набираем ls - segmentation fault
Переустанавливаем. Если запустить любую зараженную прогу, она вновь все портит. Список зараженных файлов неизвестен, но априоре все они родные, потому как в скриптах запуска инородных файлов нигде не значится...
Из рутового каталога пишем: find -mtime -1
Смотрим обновленные файлы. Переставляем...
Если неясно из какого rpm файл, пишем: rpm -qf <полный путь к файлу>В конечном итоге систему я восстановил, за одним исключением.
Было собственноручно собранное ядро 2.6.???
Теперь с ним не пускает - kernel panic.
Какие-то опции маунта рутовой файловой системы ему не понравились. С родным ядром 2.4.18-3 - ok.
Ну да ладно, как-нить разберемся...Спасибо дорогим кулхакерам за науку.
Надеюсь, что не зря это чудо набивал, кому-нить сгодиться...
Была такая же беда... Аж Афигел в своё время, переставил систему... Негодяи...
>Была такая же беда... Аж Афигел в своё время, переставил систему... Негодяи...
>
А почему негодяи??? Админы защищают хацкеры ломают ... Работа такая ... Небыло бы взломов и вирусов мы бы все обленились и растолстели ;-)))
Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит, что в системе фигня творится.Стихъ в тему:
"Апач в всесилии надменном
Неспешно исполнял скрипты.
И, не заметив перемены
В скрипте, открытом для системы,
Исполнил хакера мечты.Не пахла дохлая система,
И не заметил сисадмин,
Что под рутом не он один
В систему изредка заходит..."(дальше не помню) :-)
>Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит,
>что в системе фигня творится.спасибо, я сам об этом подумывал...
>>Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит,
>>что в системе фигня творится.
>
>спасибо, я сам об этом подумывал...есть еще rootkit hunter http://www.rootkit.nl и
chkrootkit http://www.chkrootkit.com не мешает поставить по крону.
>>Я после такого опыта поставил бы tripwire. Он хотя бы сразу предупредит,
>>что в системе фигня творится.
>
>спасибо, я сам об этом подумывал....... а всё ж защита...
http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>.... а всё ж защита...
>
>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...интересная статья, но довольно спорная.
требует постоянного контроля со стороны админа, что не является оптимальным решением.
>>.... а всё ж защита...
>>
>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>
>интересная статья, но довольно спорная.
>требует постоянного контроля со стороны админа, что не является оптимальным решением.Да, конечно..., не является оптимальным решением. Но всё ж защита...
Кстати... Антивирус тоже бессилен против нового вируса и требует постоянной корректировки ( обновления базы данных ) со стороны антивирусных компаний...
Хотя конечно это из другой оперы...
Блин у самого такая фигня. Была. Проще оказалось переустановить систему чем что то лечить. Жопа полная была бы если бы не резкий скачок траффика который заставил вовремя проснутся -))) и начать искать траблу.