URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4456
[ Назад ]

Исходное сообщение
"Поломали?"
Отправлено aleks , 14-Дек-09 16:59

Доброго времени всем!
Не могу понять в чем проблема. Сервер настраивал не я, на нем крутится апач 2.2.9 и qmail, плюс разная статистика по апачу (awstats). Недавно, наткнулся на проблему, что команда ls не обрабатывает ключ -h (вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз man, она там указана, но ls ее в упор не воспринимает. Тогда решил сделать так:
$ ls -l /bin/ls
-rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls
Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree, top аналогично.
Что это может быть? Меня хакнули? Может быть это как-то связано с qmail (я в нем полный ноль)?

Содержание

Поломали?,vehn, 17:45 , 14-Дек-09
Поломали?,shadow_alone, 19:17 , 14-Дек-09
Поломали?,aleks, 22:38 , 14-Дек-09
- Поломали?,linuxgid, 14:05 , 17-Дек-09

Сообщения в этом обсуждении

"Поломали?"
Отправлено vehn , 14-Дек-09 17:45

>[оверквотинг удален]
>(вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз
>man, она там указана, но ls ее в упор не воспринимает.
>Тогда решил сделать так:
>$ ls -l /bin/ls
>-rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls
>Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов
>в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree,
>top аналогично.
>Что это может быть? Меня хакнули? Может быть это как-то связано с
>qmail (я в нем полный ноль)?
Боюсь, что так. Проверяться rkhunter и/или chkrootkit. Можете, кстати, ещё просто попробывать просмотреть эти файлы обычным пейджером (less, more), вполне возможно, что это обычные скрипты.

"Поломали?"
Отправлено shadow_alone , 14-Дек-09 19:17

Однозначно попали, ставьте сканер
посмотрите еще вывод lsattr /bin/
если где есть sui, то это подмененные файлы.

"Поломали?"
Отправлено aleks , 14-Дек-09 22:38

Да, ребятки, поломали.
Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже рут не может удалить. Я поснимал атрибуты на все эти файлы и переписал их соответствующими из пакетов. Кому интересно почитать про этот руткит, вот ссылка:
http://lists.debian.org/debian-user/2003/06/msg00788.html

"Поломали?"
Отправлено linuxgid , 17-Дек-09 14:05

>Да, ребятки, поломали.
>Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже
>рут не может удалить. Я поснимал атрибуты на все эти файлы
>и переписал их соответствующими из пакетов. Кому интересно почитать про этот
>руткит, вот ссылка:
>http://lists.debian.org/debian-user/2003/06/msg00788.html
Спасибо! действительно полезная информация.