Temat: Zabezpieczenie serwera przed trojanami szkodliwym...

Dostały sie do mnie na serwer jakieś szkodniki

h1765292:~# chkrootkit -q
Checking `ls'... INFECTED
Checking `netstat'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
The following suspicious files and directories were found:
/usr/lib/jvm/.java-6-sun.jinfo /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/profiler3/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/visualvm/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/lib/visualvm/platform11/.lastModified /usr/lib/jvm/java-6-sun-1.6.0.22/.systemPrefs /usr/lib/jvm/.java-gcj.jinfo /usr/lib/xulrunner-1.9/.autoreg /lib/init/rw/.mdadm /lib/init/rw/.ramfs
/lib/init/rw/.mdadm
You have 26 process hidden for readdir command
You have 26 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
h1765292:~#


oraz wynik:

rkhunter -c

System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 139
Suspect files: 3

Rootkit checks...
Rootkits checked : 243
Possible rootkits: 0

Applications checks...
Applications checked: 6
Suspect applications: 2

The system checks took: 3 minutes and 10 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Ostatnio dostałem, e-maila od firmy ze z mojego serwera dedykowanego są wychodzące ataki typu ddos, czy może to przez te zainfekowane pliki nie mogę się ich pozbyć.Krystian Hetmański edytował(a) ten post dnia 04.12.10 o godzinie 13:01

Temat: Zabezpieczenie serwera przed trojanami szkodliwym...

Podmień pliki na oryginalne i zobacz, co będzie się działo.
Na przyszłość polecam napisanie sobie albo skorzystanie z gotowca, który wylicza sygnatury plików (przynajmniej wykonywalnych) i okresowo je sprawdza.Piotr Rusoł edytował(a) ten post dnia 04.12.10 o godzinie 13:54

Temat: Zabezpieczenie serwera przed trojanami szkodliwym...

Zrzuć całą partycję gdzieś lokalnie "do przejrzenia" i serwer do reinstalacji (to że naprawisz plik X i Y nie znaczy że trojan/rootkit nie ma pliku Z który akurat nie został wykryty). A potem przejrzyj to co zostało (tylko niczego nie uruchamiaj, a jeżeli już to na wirtualce i poszukaj po czym toto mogło się dostać.

Temat: Zabezpieczenie serwera przed trojanami szkodliwym...

E tam, e tam.
Podmiana plików na oryginalne nic nie da. Tzn, da ale najpierw trzeba usunąć paskudztwo ;]
To niekoniecznie jest LKM, skoro nadpisuje tyle plików, no chyba, że jakiś nieudolny ;]
Jako, iż jest prawdopodobieństwo LKM (mój ulubiony/fejwrit/da best rodzaj trojana) odpalamy... uwaga, uwaga ! system z innym kernelem :D Albo odpalamy system w singlu. Sprawdzamy moduły, nadpisujemy zainfekowane binarki właściwymi, APDEJTUJEMY SYSTEM, KONFIGURUJEMY FIREWALLA ;> i odpalamy ponownie ;) Oczywiście prościej i szybciej będzie format c: i instalacja na nowo ale kto by się bawił w coś takiego skoro można sobie poszperać ;) Pamiętaj, że jeśli tylko binarki są podmienione możesz sobie rozpakować oryginalne w swoim domowych katalogu i ich używać i wtedy diagnozować zainfekowany system. Biorąc pod uwagę, że jest to wirtualka z linux single może być ciężko więc może jakąś zupełnie nową wersję kernela co by ten "possible LKM" się nie załadował i wtedy diagnoza własnymi binarkami. Możesz też wykonać strings na zainfekowanych binarkach, to może coś powiedzieć o ukrytych plikach/procesach.