Архив форумов ЦИТФорума

[DmitriyS]

Доброе время суток, господа.

Такая проблема недавно секурити лог обнаружил следующее
Security Warning : User Unowned files found :
- /bin/login
- /bin/ls
- /bin/netstat
- /bin/ps
- /sbin/ifconfig
- /usr/bin/dir
- /usr/bin/find
- /usr/bin/slocate
- /usr/bin/top
- /usr/sbin/lsof

Посмотрел файлики, да действительно у них овнер - не существующий UID, но я не могу ничего сделать с самими файлами, не удалить, не заменить, не поменять атрибуты и владельца (пишет оперешен нот пермит...)
После этого начались какие-то странности - сислог наелся, ожил только после того как я переписал поверх syslogd из бекапа.
Может у кого-нибудь было нечто подобное?

[Security]

Похоже, что троянами перезаписали эти файлы, вскрыв твою систему, только вот мало информации...сравни эти файлы с файлами бэкапа, если не совпадают, сноси все нафиг, восстанавливайся из бэкапа, меняй все пароли, скачивай все обновления.

[Dmitry.Karpov http://prof]

Для начала внимательно прочитай маны по командам 'ls' и 'chmod' - наверняка взломщик выставил дополнительные атрибуты.

Избавиться от этих файлов можно так (я говорю о директории bin - для sbin аналогично):
- переименовать директорию "/bin"->"/bin.old";
- создать новую директорию "/bin";
- залить туда файлы из дистрибутива или из бэкапа.
Помни, что при этом некоторые команды временно будут недоступны

А вообще-то надо бэкапить юзерские данные и настройки и переинсталлировать систему. Надо также помнить, что в настройках м.б. прописаны "черные входы" в систему.

[DmitriyS]

Да... Странно всё это. из портов отурыт только ntp(123), и ssh - для отдельных ip'ов. и 53 порт ... как поимели - ума не приложу. У меня на попечении серваков 20, такое впервые.

[DmitriyS]

Всем спасибо, понял в чём дело - с хоста с которого был разрешён вход по ssh это всё дело проводилось.
Но проблема ещё одна осталась - переименовал bin и sbin, заменил из бекапа, но не могу убить всё равно файлы, которые были измененны. lsattr, ls - ничего подозрительного не показывают...

[AlexanderK]

-o Include the file flags in a long (-l) output.

Вот примерчик
mail# ls -ol / | grep kernel
-r-xr-xr-x 1 root wheel schg 2106197 May 29 11:13 kernel
-r-xr-xr-x 1 root wheel - 4122347 Apr 3 14:53 kernel.GENERIC

Обрати внимание на запись schg
Потом man ls, раздел
SEE ALSO
chflags(1), - вот этим самым чфлагом и убираешь этот самый schg.


а ssh через дыру поимели? Как в Матрице?
Или легальный юзер накосячил?

[DmitriyS]

В том-то и дело что легальный.
в матрице Тринити залезала используя дырку в ssh 1, у меня всё таки ssh 2

[Борис]

-

[AlexanderK]

меня когда лет много назад поимели через POPу , а логи не затерли - я просто позвонил туда и сказал, что через 5 мин буду у них на броневике с десятком охранников, так чтобы вазелин успели приготовить . Но оказалось, что тех ребят (астрономов наших университетских) тоже хакнули. Тогда вообще половину МГУ через этот дырявый поппер вздрючили

[AlexanderK]

полные штаны - еще бы, их программа крупным планом в кадрах супер-мега блокбастера

[DmitriyS]

Дак самое и обидное, что это свой оказался...
Вздрючить-то ес-но взрючим за это.

[Борис]

Ишь ты! Точно. Растут киношники на глазах. Помню, в первом "Робокопе" c:\command.com промелькнуло. Я ещё подумал: вот идиоты, Билл Гейтс им, что ли, уплатил? А тут уже и UNIX приплели. Растут киношники, растут.