virus vagy hacktool

Vidó János vidojanos at elesker.hu
2010. Feb. 12., P, 10:27:10 CET


Bajan Ferenc írta:
> Ezt találtam:
> /tmp/.scan/ss  Vírus azonosítva Linux/Shark.A
> /tmp/.scan/ssh-scan  Vírus azonosítva Linux/Sshscan.A
>
> Van a /tmp könyvtárban egy ., nevű!!! mappa, abban vannak ilyenek:
> /tmp/.,:
> összesen 1264
> -rwxr-xr-x 1 tanar tanarok 447156 2005-10-19 19:42 -bash
> -rwx--x--x 1 tanar tanarok  22465 2001-06-13 12:03 mech.help
> -rw-r--r-- 1 tanar tanarok   1004 2010-02-12 09:00 mech.levels
> -rw------- 1 tanar tanarok      6 2010-02-12 01:03 mech.pid
> -rw-r--r-- 1 tanar tanarok    673 2010-02-12 09:00 mech.session
> -rw-r--r-- 1 tanar tanarok   1265 2010-02-10 23:04 mech.set
> drwx--x--x 2 tanar tanarok   4096 2004-05-28 06:29 randfiles
> -rwxr-xr-x 1 tanar tanarok 361279 2006-04-08 13:05 -sh
> -rwx--x--x 1 tanar tanarok 419068 2006-04-08 13:05 -sshd
>
> /tmp/.,/randfiles:
> összesen 92
> -rw------- 1 tanar tanarok  5195 2001-04-07 04:38 randaway.e
> -rw------- 1 tanar tanarok  3982 2001-04-07 04:38 randinsult.e
> -rw------- 1 tanar tanarok   830 2001-04-07 04:38 randkicks.e
> -rw------- 1 tanar tanarok   519 2001-04-07 04:38 randnicks.e
> -rw------- 1 tanar tanarok  2495 2001-04-07 04:38 randpickup.e
> -rw------- 1 tanar tanarok 55316 2001-04-07 04:38 randsay.e
> -rw------- 1 tanar tanarok  3651 2001-04-07 04:38 randsignoff.e
> -rw------- 1 tanar tanarok  1465 2001-04-07 04:38 randversions.e
>
> Elég-e, ha a /tmp mappa partíciójának noexec attribútumot adok, 
> letörlöm ezeket a cuccosokat és a felhasználónak (aki használja, arról 
> nem tudom elképzelni, hogy ilyen dolgokat elhelyez) lecserélem a 
> jelszavát? Egyébként a kollegina csak sambán jár be, a felhasználónak 
> semmilyen shell sincs beállítva, úgyhogy utána kell még néznem, hol 
> jutott be az, aki ezeket odarakta, ssh-ra gyanaxom.
>
    Szia!

Elso korben egy teljes rendszerellenorzest kene csinalni (rkhunter, 
lynis, chkrootkit, tripwire, stb), logok atnyalazasa. Aztan annak 
fuggvenyeben, ha nem lett "ementali sajt" a rendszer, befoltozni a 
lyukat. Persze, ha mar nem erdemes toldozni foltzni (es ki tudja meg 
talalalsz-e minden lyukat), akkor inkabb reinstall, es a backupbol (ha 
volt) visszaallitani a dolgokat. Majd szigoritani a biztonsagi 
beallitasokon. Pl. ajanlott a noexec, nosuid, nodev parameterekkel 
csatolni a particiokat. Minden felhasznalo a megfelelo jogokat adni. 
Amire nem szukseges, onnan levenni a setuid es setguid jogokat. Majd 
tobb helyen, tobb modon is lehet korlatozni a felhasznalokat, hogy 
honnan lephetnek be. Pl. ssh konfigban korlatozni, hogy milyen 
felhasznaloval lehet belepni, es csak kulccsos authentikacioval, csak 
megbizthato gepekrol. Tovabba lehet meg varialni az /etc/hosts.allow es 
/etc/hosts.deny fajlokkal is. Vagy egy jol beallitott iptables melle 
fail2ban, tcpwrapper, stb. hasznalata.



További információk a(z) Techinfo levelezőlistáról