| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
SOE
Зарегистрирован: 29.12.2001
Сообщения: 4
Откуда: Nefteugansk
|
 Добавлено: Сб Дек 29 2001 13:25 Заголовок сообщения: извиняюсь троян FBRK1 или sysback 1.0 |
 |
|
| извиняюсь троян FBRK1 или sysback 1.0 |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Сб Дек 29 2001 14:19 Заголовок сообщения: Re: извиняюсь троян FBRK1 или sysback 1.0 |
|
|
Замени след. файлы:
ls Trojaned! Hide files
du Trojaned! Hide files
find Trojaned! Hide files
locate Trojaned! Hide files
ps Trojaned! Hide processes
top Trojaned! Hide processes
strings Trojaned! Hide strings of file
ifconfig Trojaned! Hide sniffing
netstat Trojaned! Hide connections
login Trojaned! Remote access
ftpd Trojaned! Remote access
Эти файлы подменил троян. Замени их на родные. 
И удали эти:
sysback Remote access
zxsniff Packet sniffer!
fix File fixer!
sizer File resizer!
freshb FRESHb Binary Log Wiper!
fresht FRESHt Text Log Wiper!
Перезагрузка и АНАЛИЗ ПОЧЕМУ СИЕ ПРОИЗОШЛО!!!!
Пока не предпримешь меры по закрытию дыры, к сети комп не подключать! |
|
| Вернуться к началу |
|
|
SOE
Зарегистрирован: 29.12.2001
Сообщения: 4
Откуда: Nefteugansk
|
| Добавлено: Сб Дек 29 2001 16:34 Заголовок сообщения: Re: извиняюсь троян FBRK1 или sysback 1.0 |
|
|
Огромное спасибо за ответ!
"Замени файлы" это значит, в частности для ls-
/usr/src/ls/make; make install; make clean?
Если так, то strings ложится не в /usr/bin, а в /usr/libexec/aout, а ifconfig, netstat, ftpd ваще не компилятся. Может есть другой способ?
А дыра наверно - юзер uucp. Но как смог и как заткнуть незнаю. Есть только логи по которым видна последовательность. Если есть готовое решение, подскажи пожалуйста. Заранее спасибо за ответ. |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Сб Дек 29 2001 19:38 Заголовок сообщения: "Заменить" означает "извлечь из дистрибутива". |
|
|
Не знаю, что у тебя за система, но во FreeBSD программу ls можно извлечь так:
cat bin.?? | tar -xvzf - bin/ls
Надо быть в директории, где лежат bin.??, если это не CD-ROM; с CD-ROM это делается
cat /cdrom/bin/bin.?? | tar -xvzf - bin/ls
или в зависимости от того, где лежат эти файлы. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вс Дек 30 2001 12:55 Заголовок сообщения: Re: извиняюсь троян FBRK1 или sysback 1.0 |
|
|
Обычно таких троянов сажают через дырявые сервисы. Например через lpd, rpcd, rlogin и т.п.
Т.е. сервис был запущен с правами root, но из-за ошибок в коде сервиса есть возможность заставить выполнить любую команду с правами root. Например скачать с сайта архив, распаковать и запустить на выполнение скриптик. Скриптик заменяем вышеуказанные файлы и тю-тю. Троян готов к работе.
Нужно очень тщательно следить за запускаемыми сервисами. Очень желательно чтоб они работали не от пользователя root, а если такое не возможно, то хотя бы выполняли chroot. Т.е. меняли свой корневой каталог. Накладных расходов будет немного больше (требуется администрирование и больше дискового пространства), но вырастет безопасность.
Ну и пользуйтесь скаерами безопасности. Например nessus очень не плохой выбор. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
