Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала команда PS и не запускаются МАНы. Такое ощущение, что кто-то на него залазил, или еще не слез. Ведь вполне логично получается, кто-то чего-то делает, потом удаляет логи, чтобы не было известо, что он делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы. Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю:
~gate: man man (или что-нибудь в этом духе), Линух съедает команду и без всякой ругани выдает:
~gate:
Что происходит? Помогите пожалуйста!..
>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала
>команда PS и не запускаются МАНы. Такое ощущение, что кто-то на
>него залазил, или еще не слез. Ведь вполне логично получается, кто-то
>чего-то делает, потом удаляет логи, чтобы не было известо, что он
>делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы.
>Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю:
>
>~gate: man man (или что-нибудь в этом духе), Линух съедает команду и
>без всякой ругани выдает:
>~gate:
>Что происходит? Помогите пожалуйста!..Товарищи! ни у кого ни чего... Может хоть что-то, а то чего-то как-то...
>>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала
>>команда PS и не запускаются МАНы. Такое ощущение, что кто-то на
>>него залазил, или еще не слез. Ведь вполне логично получается, кто-то
>>чего-то делает, потом удаляет логи, чтобы не было известо, что он
>>делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы.
>>Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю:
>>
>>~gate: man man (или что-нибудь в этом духе), Линух съедает команду и
>>без всякой ругани выдает:
>>~gate:
>>Что происходит? Помогите пожалуйста!..
>
>Товарищи! ни у кого ни чего... Может хоть что-то, а то чего-то
>как-то...Проще все снести(если это возможно), установить заново и следить за машиной и почитай по теме rootkit
Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/).
>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или
>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/).Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы, что это такое. Ну хоть примерно.
>>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или
>>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/).
>
>Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы,
>что это такое. Ну хоть примерно.Фиг вам! chkrootkit при инсталляции пишет /bin/sh: bad interpreter: Permisiion denied. Системе пришел @@@@ц?
>>>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или
>>>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/).
>>
>>Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы,
>>что это такое. Ну хоть примерно.
>
Фиг вам! chkrootkit при инсталляции пишет /bin/sh: bad interpreter: permisiion denied. Системе пришел @@@@ц?
Может записать с домашней машины папку /bin на болвашку? Как это можно сделать? А вообще меня сейчас осенило. У меня до этого на этой машине стоял Debian 2.*, у него начали пропадать ЛОГИ. Затем он умер. Я преустановил систему, подключил винт с умершей системой и скопировал пару КОНФИГОВ. Похоже чего-то я там еще прихватил... Что скажете? Мне так кажется, похоже все-таки придется убивать Линух.
>>>>Насчет "все переустановить" это конечно правильно, но перед тем как сносить, или
>>>>если сносить нельзя - советую воспользоваться пакетом chkrootkit (http://www.chkrootkit.org/).
>>>
>>>Снести это кончно хорошо, но нельзя. Мне башку снесут. Поскажите хотя бы,
>>>что это такое. Ну хоть примерно.
>>
>Фиг вам! chkrootkit при инсталляции пишет /bin/sh: bad interpreter: permisiion denied. Системе
>пришел @@@@ц?
>Может записать с домашней машины папку /bin на болвашку? Как это можно
>сделать? А вообще меня сейчас осенило. У меня до этого на
>этой машине стоял Debian 2.*, у него начали пропадать ЛОГИ. Затем
>он умер. Я преустановил систему, подключил винт с умершей системой и
>скопировал пару КОНФИГОВ. Похоже чего-то я там еще прихватил... Что скажете?
>Мне так кажется, похоже все-таки придется убивать Линух.
Я еще вот что подумал. Если это червяк. То ведь он может быть на других машинах. Если я переустановлю Линух не залетит ли он снова на сервак с локалок?
послушай, прекрати истерику.
какой червяк под линухом???!!!
>послушай, прекрати истерику.
>какой червяк под линухом???!!!Да фиг его знает. Сколько людей столько мнений. Одни говорят одно, другие другое, вот в панику и впадаешь. Но если не червяк, тогда что это?
>>послушай, прекрати истерику.
>>какой червяк под линухом???!!!
>
>Да фиг его знает. Сколько людей столько мнений. Одни говорят одно, другие
>другое, вот в панику и впадаешь. Но если не червяк, тогда
>что это?
Кстати. Может проблема в железе? Память битая, проц греется, винт отсыпается?
>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала
>команда PS и не запускаются МАНы. Такое ощущение, что кто-то на
>него залазил, или еще не слез. Ведь вполне логично получается, кто-то
>чего-то делает, потом удаляет логи, чтобы не было известо, что он
>делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы.
>Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю:
>
>~gate: man man (или что-нибудь в этом духе), Линух съедает команду и
>без всякой ругани выдает:
>~gate:
>Что происходит? Помогите пожалуйста!..Подцепи этот винт к другому линуху вторым винтом и смонтируй в папку, ну допустим /mnt/polnaja_jopa и внимательно просмотри на предмет лишнего. В первую очередь канешна на предмет руткитов. Сравни основные бинарники типа ps, top, netstat.
Если все чисто, то пробуй fsck /dev/hdX и badblocks /dev/hdX.
Более прямолинейный способ - проинсталь систему в режиме апдейта не убивая разделов.
>Всем зрасьте! Помогите советом, please. У меня с сервака исчезают логи, пропала
>команда PS и не запускаются МАНы. Такое ощущение, что кто-то на
>него залазил, или еще не слез. Ведь вполне логично получается, кто-то
>чего-то делает, потом удаляет логи, чтобы не было известо, что он
>делает. Также удаляется программа PS, чтобы нельзя было посмотреть текущие процессы.
>Только вот почему не запускаются МАНы?.. Все файлы на месте. Набираю:
>
>~gate: man man (или что-нибудь в этом духе), Линух съедает команду и
>без всякой ругани выдает:
>~gate:
>Что происходит? Помогите пожалуйста!..
в таких случаях надежда только на регулярное резервное копирование.
chrootkit не поможет если перелопатили ядро и его модули.
На мой взгляд, действия должны быть таковы:
1) Береш компьютер, ставишь на него Unix(желательно похожей группы со взломаным).
2) мтавишь на него ВСЕ патчи, в малейшей стапени касающиеся безопастности.
3) настраиваеш его аналогично взломаному серверу (как Вы понимаете пароли не должны быть одинаковы).
4) переносим со взломаного сервера пользовательские данные
5) меняем серваки местами.
Если нужна более подробная консультация, пиши на : edwin3d@omen.ru
Всем огромное спасибо! Вы очень помогли!
>Всем огромное спасибо! Вы очень помогли!К стати у меня троян, червь, и еще какая-то хрень на серваке. И все под линух. Это мне clamav сообщил.
ну кламав много чего говорит, ты еще спроси где он это нашел ?
значит так слушай как надо!
ты гвариш что сервак боевой, сначала все данный забекапь на другой сервак у которго все пока еще нормально, ну паставь ты атрибуты на логи шоб никто не удалял и смари че будет=)
найди бинарник пс и так едрани или топом как так твой сервак и ты незнаешь что нанем происходи!!! быстро гаси,
яб если почуял что на боевом серваке кто то нюхает первым делом бы провел полную проверку, но сперва потушил бы все интерфейсы...
еще на будующее логи с боевых серваков надо хранить на другом серваке типа сервер логов=) а че )
знаешь, я часто наблюдаю у себя в логе такую картину, что всякие боты пытаюца подобрать пароль ну от разных пользователей в том числе и от рута(он главный должен быть у тебя) вот может у тебя они подобрали его?
рут 123 аксес грандед !!!=))