LINUX.ORG.RU
ФорумAdmin

Linux RH (core 2.4) - последствия ХАКА


0

0

После того как система была взломана обнаружилась нестабильная работа системы. Поскольку взломанный сервер находится постоянно в работе, то переустановка ОС и ПО невозможна. Нестабильность работы проявляется в том, что самое важное приложение, которое запускается скриптом *.sh запускается ШЕСТЬ раз. Сначала скрпт запускает одну копию, которая в совю очередь запускает еще одну, затем 2-я дочка порождает сразу 4 копии - ИТОГО их 6. Они постоянно перехватывают др. у др. инициативу и дестабилизируют работу сервера. @@ обновили SSHD (переустановили) и вроде пересобрали ядро. Изменения были обнаружены в файле cat /etc/init.d/functions. Есть подозрение, что @@ переобрали ядро либо изменили какимто образом файл functions, который находиться по адресу /etc/init.d/ меня вот сильно напрягает строка /usr/bin/initrd -t1 -X53 -p ниразу не видал чтобы initrd исользовалась с ключами и без ссыли на *.img %)

Если, кто использует тот же Linux RH (core 2.4), то плз. прошу помощи = предлагаю сравнить содержимое файлов cat /etc/init.d/functions.

Идиотизмом предлагаете заниматься.

Восстановите файлы из RPM'ок.

А лучше для каждого пакета в системе

rpm -Uvh --force packet.i386.rpm (предварительно сохранив на всякий случай /etc) - правда такая операция не удалит "лишние" программы в системе.

birdie ★★★★★
()
Ответ на: комментарий от birdie

> правда такая операция не удалит "лишние" программы в системе.

ну, можно предложить такой вариант - после переустановки всех пакетов, пользуясь списком всех установленных пакетов, получить список всех файлов, которые могут быть в системе. и сравнить его с тем, что фактически есть на файловой системе.

isden ★★★★★
()
Ответ на: комментарий от isden

хорошая идея, но нужно обязательно перезагрузиться с "чистым" ядром, а лучше с LiveCD, ибо rootkit'ы умеют хорошо прятать файлы.

birdie ★★★★★
()
Ответ на: комментарий от isden

По сути при заливки туда rootkit уже не чего не поможет даже перезборка ядра ведь кроме sshd патчится очень большая куча стандартных утилит из стандартной поставки /bin/*, /sbin/*. Сделать просто как написано выше с сохранением /etc/* и импортом rpm -qa >> rpmbase_h.txt на хакнутом серваке и тоже самое сделать rpm -qa >> rpmbase_n.txt на новом, а потом написать скрипт чтобы сравнить 2 файла и недостающие пакеты доставить при этом /etc/ не стоит переписывать, каталог будет служить как подсказка настроек предыдущей системы только того что надо настроить а не всего подряд.

zIP
()
Ответ на: комментарий от zIP

да.. имхо проще и быстрее уж тогда будет на параллельной тачке поставить чистую систему и перетащить данные и конфиги с сервака на неё. и потом быстренько заменить боевой сервак.

isden ★★★★★
()
Ответ на: комментарий от birdie

Идиотизм админа или начальства админа не является поводом для потакания хаккерам и поддержки глюков. Исключение - крупные энтерпрайзы, но там свои правила и политика важней работы.

Gharik
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.