Что за троян?

1

1

После которого мой RedHat 7.3 пришёл почти в полную негодность. Эта бяка заменила файлы /bin/ls, /bin/login, /usr/bin/find, /usr/bin/slocate, /bin/top, и т.д. Резервные копии исходных версий этих файлов она сохранила, добавив к имени суффикс ';3ead0eb1'. Но самое западло, что новые версии файлов удалить невозможно -- говорит unlink `/bin/ls': Operation not permitted. Кто сталкивался, скажите, что это такое и как от него лечиться.

Ссылка

←	Slackware 9.0 & Evolution & Gnome

Кириллица в OpenLDAP

→

Если это боевой сервер -- 1. Бэкап всей информации. 2. Снос всех разделов нахер. 3. Переразбивка винта, создание файловых систем. 4. Раздобывание более свежей версии дистрибутива. 5. Установка с нуля.

Если пункт 4 невыполним, то не выставлять в сеть машину до тех пор, пока не обновлены до последней версии КАК МИНИМУМ следующие пакеты: kernel, OpenSSH+OpenSSL, sendmail, apache, bind.

К вопросу о "неудаляемых" файлах -- man lsattr, man chattr про флаг immutable и прочие.

Если на машине нет ценной информации (то бишь типичная рабочая станция), то поскольку используется редхат, то берем компакт, проходим по всем установленным пакетам rpm-ом в режиме сравнения контрольных сумм и битые файлы вытаскиваем руками. После чего проводим аудит конфигов. Особое внимание всем конфигурационным файлам и скриптам в /etc и всех его подкаталогах.

На будущее: дабы цеплять поменьше троянов, необходимо иметь правильно настроенный файрволл, регулярно читать список рассылки bugtraq и вовремя накладывать нужные патчи.

Obidos ★★★★★
(28.04.03 13:35:24 MSD)