https://www.opennet.ru/openforum/vsluhforumID10/4456.html Доброго времени всем!<br>Не могу понять в чем проблема. Сервер настраивал не я, на нем крутится апач 2.2.9 и qmail, плюс разная статистика по апачу (awstats). Недавно, наткнулся на проблему, что команда ls не обрабатывает ключ -h (вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз man, она там указана, но ls ее в упор не воспринимает. Тогда решил сделать так:<br>$ ls -l /bin/ls<br>-rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls<br>Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree, top аналогично.<br>Что это может быть? Меня хакнули? Может быть это как-то связано с qmail (я в нем полный ноль)?<br> https://www.opennet.ru/openforum/vsluhforumID10/4456.html#4 Thu, 17 Dec 2009 11:05:13 GMT &gt;Да, ребятки, поломали. <br>&gt;Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже <br>&gt;рут не может удалить. Я поснимал атрибуты на все эти файлы <br>&gt;и переписал их соответствующими из пакетов. Кому интересно почитать про этот <br>&gt;руткит, вот ссылка: <br>&gt;http://lists.debian.org/debian-user/2003/06/msg00788.html <br><br>Спасибо! действительно полезная информация.<br> https://www.opennet.ru/openforum/vsluhforumID10/4456.html#3 Mon, 14 Dec 2009 19:38:15 GMT Да, ребятки, поломали.<br>Действительно, на эти файлы ставятся атрибуты иммунитета (ai) поэтому эти файлы даже рут не может удалить. Я поснимал атрибуты на все эти файлы и переписал их соответствующими из пакетов. Кому интересно почитать про этот руткит, вот ссылка: <br>http://lists.debian.org/debian-user/2003/06/msg00788.html<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4456.html#2 Mon, 14 Dec 2009 16:17:37 GMT Однозначно попали, ставьте сканер<br><br>посмотрите еще вывод lsattr /bin/<br><br>если где есть sui, то это подмененные файлы.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4456.html#1 Mon, 14 Dec 2009 14:45:17 GMT &gt;[оверквотинг удален]<br>&gt;(вывод размеров файлов в "человеческом" виде так сказать), почитал несколько раз <br>&gt;man, она там указана, но ls ее в упор не воспринимает. <br>&gt;Тогда решил сделать так: <br>&gt;$ ls -l /bin/ls <br>&gt;-rwxr-xr-x 1 qmaild games 39696 Oct 30 2007 /bin/ls <br>&gt;Вывод поверг меня, мягко говоря, в шок. Посмотрев еще на владельцев файлов <br>&gt;в /bin, /usr/bin обнаружил, что у netstat, ps, find, md5sum, pstree, <br>&gt;top аналогично. <br>&gt;Что это может быть? Меня хакнули? Может быть это как-то связано с <br>&gt;qmail (я в нем полный ноль)? <br><br>Боюсь, что так. Проверяться rkhunter и/или chkrootkit. Можете, кстати, ещё просто попробывать просмотреть эти файлы обычным пейджером (less, more), вполне возможно, что это обычные скрипты.<br>