Архив форумов ЦИТФорума

[ilyasov]

Недавно поставили на новую машину Linux.
Спустя два дня система была взломана (предположительно по FTP протоколам). Попытка воспроизвести действия взломщиков не увенчалась успехом -все описания способов взлома не сработали. Может кто-нибудь посоветует как это можно сделать (больно не хочется жить не выяснив причин)

[and3008]

Подробности взлома можно?
Как выявил взлом?

[ilyasov]

1. Система слетела (перестала вообще грузиться)
2. файлы в системном каталоге оказались зараженными вирусом! Именно так. Изменилась их длина и при запуске зараженного файла происходит дальнейшее заражение.
3. Log файлы правили, так что в них нет почти никаких следов, если не считать, что перед слетом системы был вход по ftp протоколу.

[and3008]

"http://www.ciac.org/ciac/bulletins/m-023.shtml"

[ilyasov]

Действительно, после подонбых действий сервер давал сбой, но после сообщения
421 Service not available, remote server has closed connection
ничего не изменялось и ftp клиент говорил, что связь потеряна. Допускаю, что в целях безопасности, полное описание метода взлома не приводится, но очень хотелось бы разобраться в проблеме

[and3008]

-

[ArmaniG]

Могу сказать точно, что WU-FTP славится подобными фичами, не советую его использовать, а если и решил пользовать, то патчи его незамедлительно, так уж он устроен гнило, продукт отстой!
А так на будущее пользуй proftpD проблем такого рода меньше!