URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59788
[ Назад ]

Исходное сообщение
"rootkit в системе"
Отправлено quest , 05-Сен-05 18:18

Если в системе (FreeBSD) завелся руткит, возможно ли его полное уничтожение, или ставить по новой всю систему?

Содержание

rootkit в системе,Skif, 19:00 , 05-Сен-05
- rootkit в системе,quest, 19:18 , 05-Сен-05
  - rootkit в системе,quest, 19:37 , 05-Сен-05

Сообщения в этом обсуждении

"rootkit в системе"
Отправлено Skif , 05-Сен-05 19:00

>Если в системе (FreeBSD) завелся руткит, возможно ли его полное уничтожение, или
>ставить по новой всю систему?

Если знаете где и что (например подмена ps/top) то можно вывести руками и накатить мир и пересобрать его. А вообще надо пользовать что-то типа tripwire и хотя бы раз в неделю проводить аудит системы.

"rootkit в системе"
Отправлено quest , 05-Сен-05 19:18

>>Если в системе (FreeBSD) завелся руткит, возможно ли его полное уничтожение, или
>>ставить по новой всю систему?
>
>
>Если знаете где и что (например подмена ps/top) то можно вывести руками
>и накатить мир и пересобрать его. А вообще надо пользовать что-то
>типа tripwire и хотя бы раз в неделю проводить аудит системы.
>
Проверка chrootkit'ом поможет?

"rootkit в системе"
Отправлено quest , 05-Сен-05 19:37

>>>Если в системе (FreeBSD) завелся руткит, возможно ли его полное уничтожение, или
>>>ставить по новой всю систему?
>>
>>
>>Если знаете где и что (например подмена ps/top) то можно вывести руками
>>и накатить мир и пересобрать его. А вообще надо пользовать что-то
>>типа tripwire и хотя бы раз в неделю проводить аудит системы.
>>
Если дата и размер ps, top, netstat, tcpdump совпадают с датой и размером таких же файлов на совершенно изолированной от внешеного мира машиной, можно ли говорить о подмене? Если подмена, то дата и размер меняются, и можно ли подменить не имея прав рута?