virus vagy hacktool
Vidó János
vidojanos at elesker.hu
2010. Feb. 12., P, 14:05:19 CET
Bajan Ferenc írta:
> Helló!
>
> A behatoló által felrakott cuccosban LINUX/Rootkit/D, EXP/Spy.233 és
> LINUX/Rst.A volt.
> Ma éjjel 0:57-től 471 belépési kísérlet történt a szerverre a
> cache.synergy-vs.cz nevű, 90.183.74.1 című gépről, ezenfelül 28 a
> 196.41.3.197, 2 a 202.47.224.163, 7 a 208.111.183.202, 2 a
> 212.107.158.252 és 1 a 85.18.240.79 című gépekről, összesen 74
> felhasználónevet próbálgatva különböző jelszavakkal.
> A tanar felhasználónévvel végül első ízben 00:57-kor sikerült a
> támadónak belépnie a cache.synergy-vs.cz nevű gépről, majd 1:02-kor,
> 1:14-kor és 1:20-kor a host-static-92-115-140-188.moldtelecom.md nevű,
> 92.115.140.188 című gépről. A két gépről 48 illetve 25 percet
> töltöttek a rendszerben, ezalatt telepítették fel az 1. pontban
> említett állományokat.
> Ezenkívül a mailx paranccsal küldött egy levelet a rumen0 at yahoo.com
> címre, amelyet az amavis BAD HEADER hibával karanténba rakott. A levél
> tárgya:
> vuln.txt
> szövege:
> L-amPrins de coada!
> Ez ha minden igaz, román nyelvű és kb. annyit tesz: Megfogtam a farkát!
> A levél kelte ma éjjel 1:35 volt.
>
> Azt honnan lehet megtudni, milyen processzek nem listázhatók a ps
> paranccsal? Ui. a chkrootkit semmi más hibát nem jelez, csk azt, hogy
> 2 processz nem listázható, ill. a 465-ös portot állítja fertőzöttnek,
> amelyen a postfix smtps ül.
Szia!
Egy eredeti, nem kompromittalt ps-el lehet, amit vagy felteszel ujra
csomag/forras, vagy egy masik ua. rendszerrol athozod. Egyebkent egy
rootkit telepitesekor joval tobb fajlt irnak felul, nem csak a ps-t.
Tovabbi hasznos parancs lehet meg, netstat, fuser (ha nem lettek
felulirva), amikkel lehet bogaraszni a processzeket, illetve, hogy
milyen porton milyen program fut.
További információk a(z) Techinfo levelezőlistáról