Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не мной)
Тот поставил бекдор или что то в этом роде.
Теперь не важно меняешь или нет пароли на root заходит.
Помогите как выявить бекдор и удалить?

• Взломали сервер Freebsd 7.3,Аноним, 23:08 , 07-Дек-10
  • Взломали сервер Freebsd 7.3,xservices, 23:12 , 07-Дек-10
    • Взломали сервер Freebsd 7.3,Аноним, 23:20 , 07-Дек-10
• Взломали сервер Freebsd 7.3,Аноним, 10:00 , 08-Дек-10
  • Взломали сервер Freebsd 7.3,xservices, 10:01 , 08-Дек-10
    • Взломали сервер Freebsd 7.3,sage444, 10:29 , 08-Дек-10
      • Взломали сервер Freebsd 7.3,xservices, 10:30 , 08-Дек-10

> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
> мной)
> Тот поставил бекдор или что то в этом роде.
> Теперь не важно меняешь или нет пароли на root заходит.
> Помогите как выявить бекдор и удалить?

Не понятно, что значит "на root заходит".
Я бы для начала закрыл файрволлом весь трафик на машину для всех кроме моего ip. Затем одним из способов заменил бы все системные файлы. Самый быстрый - freebsd-update. Можно также из sysinstall сделать "восстановление" системы, если есть возможность cd с дистрибутивом на сервер вставить. Либо скачать исходники из пересобрать систему.

Если надо, сделаю это для вас за плату.

Грубо говоря не виден в системе логи чистит, короче похоже на бекдор.

Сервер удаленный пересобирать не буду долго он старенький.

Как выявить бекдор?

> Грубо говоря не виден в системе логи чистит, короче похоже на бекдор.
> Сервер удаленный пересобирать не буду долго он старенький.
> Как выявить бекдор?

в простейшем случае сравнить даты модификации (ls -l) в /boot/kernel /bin/ /sbin итд. без логов и доступа к серверу сложно понять что там за бэкдор у вас. взять из дистрибутива 7.3 с официального сайта бинарник sshd. Проверить/заменить версиями из дистрибутива модули pam. попробовать поставить security/rkhunter (хотя вряд ли что найдет). find'ом поискать недавно созданные файлы по всей файловой системе, поискать суидники. короче масса вариантов. но начать можно с sshd. хотя если там нормальный бэкдор, то это модуль ядра, который, например, при поступлении определенного icmp пакета открывает root-shell на каком-то известном вашему другу порту.

ну а вопрос, откуда вам знать что там есть друг в системе, если в логах и процессах его не видать?

> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
> мной)
> Тот поставил бекдор или что то в этом роде.
> Теперь не важно меняешь или нет пароли на root заходит.
> Помогите как выявить бекдор и удалить?

Переставить систему, без вариантов

>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
>> мной)
>> Тот поставил бекдор или что то в этом роде.
>> Теперь не важно меняешь или нет пароли на root заходит.
>> Помогите как выявить бекдор и удалить?
> Переставить систему, без вариантов

Понятно :(
Если есть другие варианты подскажите, да я сам дурак патчи не накатал во время.

>>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
>>> мной)
>>> Тот поставил бекдор или что то в этом роде.
>>> Теперь не важно меняешь или нет пароли на root заходит.
>>> Помогите как выявить бекдор и удалить?
>> Переставить систему, без вариантов
> Понятно :(
> Если есть другие варианты подскажите, да я сам дурак патчи не накатал
> во время.

кажись в портах что-то было для отлова бекдоров;)

>>>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
>>>> мной)
>>>> Тот поставил бекдор или что то в этом роде.
>>>> Теперь не важно меняешь или нет пароли на root заходит.
>>>> Помогите как выявить бекдор и удалить?
>>> Переставить систему, без вариантов
>> Понятно :(
>> Если есть другие варианты подскажите, да я сам дурак патчи не накатал
>> во время.
> кажись в портах что-то было для отлова бекдоров;)

Да проверял но он ничего не нашел