форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Suckit rootkit - как ибавиться?"
Сообщение от SergeiWind (ok) on 09-Авг-04, 13:43  (MSK)
Собственно сабж. По своей дурости получил сегодня ночью, хорошо хоть сразу заметил бяку. Как убрать - KAV, DRWEB не ловят. Сhkrootkit - Checking `ls'... INFECTED Checking `netstat'... INFECTED Checking `ps'... INFECTED Checking `top'... INFECTED Searching for Suckit rootkit ... Warning: /sbin/init INFECTED Checking `lkm'... You have     7 process hidden for ps command чем зверюку выловить и вытравить?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Suckit rootkit - как ибавиться?"
Сообщение от shaman (??) on 09-Авг-04, 14:09  (MSK)
>Собственно сабж. По своей дурости получил сегодня ночью, хорошо хоть сразу заметил >бяку. Как убрать - KAV, DRWEB не ловят. >Сhkrootkit - >Checking `ls'... INFECTED >Checking `netstat'... INFECTED >Checking `ps'... INFECTED >Checking `top'... INFECTED >Searching for Suckit rootkit ... Warning: /sbin/init INFECTED >Checking `lkm'... You have     7 process hidden for >ps command >чем зверюку выловить и вытравить? 1. Разобраться, _как_ поставили. 2. Из бэкапа 3. Инфицирован init, переустановить пакет (или собрать из порта или еще как-нибудь в зависимости от ОС).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Suckit rootkit - как ибавиться?"
	Сообщение от SergeiWind (ok) on 09-Авг-04, 14:12  (MSK)
	>1. Разобраться, _как_ поставили. >2. Из бэкапа >3. Инфицирован init, переустановить пакет (или собрать из порта или еще как-нибудь >в зависимости от ОС). >1. Разобраться, _как_ поставили. - сам виноват, настраивал httpd - забыл прибить юзера test c паролем test - проверял userdir запросы, блин... Linux RedHat 9.0 а если с соседней "чистой" системы эти файлы просто переложить поверху?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Suckit rootkit - как ибавиться?"
	Сообщение от shaman (??) on 09-Авг-04, 14:47  (MSK)
	>>1. Разобраться, _как_ поставили. >>2. Из бэкапа >>3. Инфицирован init, переустановить пакет (или собрать из порта или еще как-нибудь >>в зависимости от ОС). > > >>1. Разобраться, _как_ поставили. - сам виноват, настраивал httpd - забыл прибить юзера test c паролем test - проверял userdir запросы, блин... > >Linux RedHat 9.0 > >а если с соседней "чистой" системы эти файлы просто переложить поверху? Если версия такая же - почему бы и нет. А не проще из rpm поставить?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Suckit rootkit - как ибавиться?"
	Сообщение от SergeiWind (ok) on 09-Авг-04, 14:54  (MSK)
	>Если версия такая же - почему бы и нет. Сегодня вечером привезут сервак - попробую перезаписать. Сделал ему ifconfig eth0 down на всякий случай, потому что halt уже не работает :( >А не проще из rpm поставить? Ага, если б еще нъУбу кто ни будь подсказал в каких rpm это все лежит...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Suckit rootkit - как ибавиться?"
	Сообщение от Z0termaNN (ok) on 09-Авг-04, 15:22  (MSK)
	>>Если версия такая же - почему бы и нет. > >Сегодня вечером привезут сервак - попробую перезаписать. >Сделал ему ifconfig eth0 down на всякий случай, потому что halt уже >не работает :( > >>А не проще из rpm поставить? > >Ага, если б еще нъУбу кто ни будь подсказал в каких rpm >это все лежит... rpm -qf /path/to/file и будет тебе счастье
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Suckit rootkit - как ибавиться?"
	Сообщение от SergeiWind (ok) on 09-Авг-04, 16:04  (MSK)
	>и будет тебе счастье # rpm -qf /bin/ls coreutils-4.5.3-19.0.2 :)))))))))) Спасбо :))))))))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Suckit rootkit - как ибавиться?"
Сообщение от hromach (??) on 09-Авг-04, 15:47  (MSK)
Сhkrootkit имел бал 2 недели назад, возможно еще не исправили, так что скорей всего у тебя все в порядке, просто он неправильно показывает
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Suckit rootkit - как ибавиться?"
	Сообщение от SergeiWind (ok) on 09-Авг-04, 15:53  (MSK)
	>Сhkrootkit имел бал 2 недели назад, возможно еще не исправили, так что >скорей всего у тебя все в порядке, просто он неправильно показывает > Да не очень в порядке, если на #halt получаю The system is going down for system halt NOW! /dev/null RK_Init: idt=0xc03ad000, sct[]=0xc033a5f4, FUCK: Can't find kmalloc()!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Suckit rootkit - как ибавиться?"
	Сообщение от SergeiWind (ok) on 09-Авг-04, 21:11  (MSK)
	Народ, помогайте. Не могу ни поменять атрибуты ни удалить зараженные файлы, даже если гружусь с компакт-диска. Что делать то?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Suckit rootkit - как ибавиться?"
	Сообщение от ovax (??) on 10-Авг-04, 05:11  (MSK)
	>Народ, помогайте. >Не могу ни поменять атрибуты ни удалить зараженные файлы, даже если гружусь >с компакт-диска. >Что делать то? lsattr, chattr
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.