LINUX.ORG.RU
ФорумAdmin

На серверах вирус, что делать?


0

0

Размножается какая то хрень, chkrootkit & rkhunter ничего не находят, ровно как и все извесные антивирусы. Но я то вижу, что файлы, как минимум, больше по размеру. Уже третий раз все чищу, а на утро файлы опять инфицированны... Подскажите че это может быть? З.Ы. Сервера все были пропатчены по самые @@, незнаю даже на что думать. З.Ы.Ы. Разослал семплы антивирусникам, но пока никакого ответа..


Re: На серверах вирус, что делать?

Разница в размере между зараженными и чистыми постоянная ? Если да, то сколько байт ? Проверь clamscanом, он хорошо и линуксовые вири должен находить.

chucha ★★★☆
()
Ответ на: Re: На серверах вирус, что делать? от chucha

Re: Re: На серверах вирус, что делать?

> Разница в размере между зараженными и чистыми постоянная ? 
Нет, вот разница в размерах для 3х файлов: 5636, 5520, 2576 bytes... 

> Проверь clamscanом, он хорошо и линуксовые вири должен находить.
Пробовал, чистые говорит... и так все остальные антивирусы: DrWeb, Касперский, McAfee...

BioByte
() автор топика
Ответ на: Re: Re: Re: На серверах вирус, что делать? от chucha

Re: Re: Re: Re: На серверах вирус, что делать?

> Ну trend micro еще попробуй

Попробовал их онлайн сканером, тоже типа чистые говорит :(

> лучше сноси и устанавливай все заново, не забыв про security обновления...

Апдейты там были, и все апдейты ставились в тот же день как выходили да и локальных юзеров нет и т.п... Поэтому мягко сказать, удивляюсь что это такое... На счет сносить, тема конечно правильная, но напряжная, сервера удаленные, пока провов распинаешь. Поэтому хотелось бы сначала локализовать проблему, дабы избежать дубля...

BioByte
() автор топика
Ответ на: Re: Re: Re: Re: На серверах вирус, что делать? от BioByte

Re: Re: Re: Re: Re: На серверах вирус, что делать?

с вероятностью в 99,9% это не вирь, а хитровы@ный троянец.... тут тока хороший дизасемблер и знание асма может помочь - если не того ни другого нет - ставь по новой пингвина....

palach
()
Ответ на: Re: Re: Re: Re: Re: На серверах вирус, что делать? от anonymous

Re: Re: Re: Re: Re: Re: На серверах вирус, что делать?

> На будущее надо бы tripwire ставить. Стоит, и именно по логам tripwire стало ясно, что файлы были заменены. Сейчас проверил файлы меняются при запуске daily крона, весь софт, который запускается по этому событию был переставлен и проверен по контрольным сумам, однако не помогло...

BioByte
() автор топика
Ответ на: Re: Re: Re: Re: Re: Re: На серверах вирус, что делать? от BioByte

Re: На серверах вирус, что делать?

Так мужики, кажись это все с тяжелого похмелия :) Видимо дело было так, накатил апдейты обновил базу трипвари, а по утру эти файлы накрыл prelink, а после я про него просто забыл... ладно пойду проверять эту версию...

BioByte
() автор топика
Ответ на: Re: Re: На серверах вирус, что делать? от chucha

Re: Re: Re: На серверах вирус, что делать?

> А зачем на серверах prelink ???

Нахрен не нужен (с) Прощелкал я его, и даже не сразу заметил и сообразил, что он такую подлость может сделать...

BioByte
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin