Удаление руткита

0

0

Подскажите пожалуйста! После сканирования системы rkhunter-ом был обнаружен руткит
 Rootkit 'SHV4'...                                    [ Warning! ]
--------------------------------------------------------------------------------

 Found parts of this rootkit/trojan by checking the default files and directories Please inspect the available files, by running this check with the parameter --createlogfile and check the log file (current file: /dev/null).
             --------------------------------------------------------------------------------

Какие мои дальнейшие действия?
Спасибо за помощь!

Ссылка

←	DNS-имена разрешаются, а пинги не проходят :о(

inittab пожалуйста объясните!

→

Переинсталяция и увольнение сисадмина (то есть тебя). Остальное - полумеры.

Ну, как минимум первое.

Teak ★★★★★
(04.12.06 17:37:49 MSK)

Ответ на: комментарий от Teak 04.12.06 17:37:49 MSK

Ну, для начала, покажи логи huntera
Для пущей надёжности рекомендую ещё пользовать chkrootkit.

2 Teak 
Зачем грубишь суший, а, увольнять не увольнять, какое твоё дело?
Тебя только просили посоветовать, а так, трепаться, иди в "сад"!

LifeWins ★
(04.12.06 18:05:39 MSK)

SHV это мощный руткит, фактически шел,который скрывает процессы и помимо этого не ведуться логи действий производимой в системе. ;)

Проверь существует ли такой каталог: /lib/ldd.so ?

А вообще rkhunter предлагает запустить себя с опцией --createlogfile , где наверняка будет более точная информация.

mf_amber ★
(04.12.06 19:34:07 MSK)

Ответ на: комментарий от mf_amber 04.12.06 19:34:07 MSK

есть каталог libsh.so

anonymous
(04.12.06 20:29:14 MSK)

Ссылка

Ответ на: комментарий от LifeWins 04.12.06 18:05:39 MSK

Не, ну согласись, что лечить руткит изнутри заражённой системы - дело в общем случае бесперспективное. Все эти hunter'ы - мёртвому припарки.

Teak ★★★★★
(04.12.06 20:54:50 MSK)

Ответ на: комментарий от Teak 04.12.06 20:54:50 MSK

ну а если поудалять файлы руткита?

anonymous
(05.12.06 01:06:45 MSK)

Ответ на: комментарий от anonymous 05.12.06 01:06:45 MSK

Удалялка отвалится. :)

Нельзя верить во-первых тому, что они действительно удалятся, во-вторых тому, что других нет. Вообще ничему нельзя верить: ядро заражено.

Вот ежели вынуть винт, подмонтировать с другой системы и там поковыряться, то это ещё может быть.

Teak ★★★★★
(05.12.06 01:24:04 MSK)

Ответ на: комментарий от Teak 05.12.06 01:24:04 MSK

С свх можно бороться. Меня попросили разобраться с такой системой,
причём в этом случае заразилась шлюзовая машина, выключать не годилось,
максимум - перезагрузка.
Вначале нужно удалить без парольный шел который висит в системе.
Вообще проверь систему nmap-ом на предмет открытых портов.

Да, тебя же просили засветить лог hunter!
Дальнейшие действия зависят от версии свх.

LifeWins ★
(05.12.06 10:08:04 MSK)

Ссылка

плохо, что нельзя винт снять, в иедале представляю себе так:

1) снять винт
2) подключить к другой системе
3) подмонтировать и искать файлы руткита (скачай сам руткит, там найдешь какие файлы троянятся)
4) удаляешь файлы
5) ставишь на место винт, грузишься с него, собираешь другое ядро
6) после загрузки ищешь скрытые процессы и скрыте порты
для процессов http://rst.void.ru/download/r57-pid-check.txt
для портов http://rst.void.ru/download/portcheck.txt