virus vagy hacktool

Vidó János vidojanos at elesker.hu
2010. Feb. 12., P, 14:05:19 CET


Bajan Ferenc írta:
> Helló!
>
> A behatoló által felrakott cuccosban LINUX/Rootkit/D, EXP/Spy.233 és
> LINUX/Rst.A volt.
> Ma éjjel 0:57-től 471 belépési kísérlet történt a szerverre a 
> cache.synergy-vs.cz nevű, 90.183.74.1 című gépről, ezenfelül 28 a 
> 196.41.3.197, 2 a 202.47.224.163, 7 a 208.111.183.202, 2 a 
> 212.107.158.252 és 1 a 85.18.240.79 című gépekről, összesen 74 
> felhasználónevet próbálgatva különböző jelszavakkal.
> A tanar felhasználónévvel végül első ízben 00:57-kor sikerült a 
> támadónak belépnie a  cache.synergy-vs.cz nevű gépről, majd 1:02-kor, 
> 1:14-kor és 1:20-kor a host-static-92-115-140-188.moldtelecom.md nevű, 
> 92.115.140.188 című gépről. A két gépről 48 illetve 25 percet 
> töltöttek a rendszerben, ezalatt telepítették fel az 1. pontban 
> említett állományokat.
> Ezenkívül a mailx paranccsal küldött egy levelet a rumen0 at yahoo.com 
> címre, amelyet az amavis BAD HEADER hibával karanténba rakott. A levél 
> tárgya:
> vuln.txt
> szövege:
> L-amPrins de coada!
> Ez ha minden igaz, román nyelvű és kb. annyit tesz: Megfogtam a farkát!
> A levél kelte ma éjjel 1:35 volt.
>
> Azt honnan lehet megtudni, milyen processzek nem listázhatók a ps 
> paranccsal? Ui. a chkrootkit semmi más hibát nem jelez, csk azt, hogy 
> 2 processz nem listázható, ill. a 465-ös portot állítja fertőzöttnek, 
> amelyen a postfix smtps ül.
Szia!

Egy eredeti, nem kompromittalt ps-el lehet, amit vagy felteszel ujra 
csomag/forras, vagy egy masik ua. rendszerrol athozod. Egyebkent egy 
rootkit telepitesekor joval tobb fajlt irnak felul, nem csak a ps-t. 
Tovabbi hasznos parancs lehet meg, netstat, fuser (ha nem lettek 
felulirva), amikkel lehet bogaraszni a processzeket, illetve, hogy 
milyen porton milyen program fut.



További információk a(z) Techinfo levelezőlistáról