На серверах вирус, что делать?

0

0

Размножается какая то хрень, chkrootkit & rkhunter ничего не находят, ровно как и все извесные антивирусы. Но я то вижу, что файлы, как минимум, больше по размеру. Уже третий раз все чищу, а на утро файлы опять инфицированны... Подскажите че это может быть? З.Ы. Сервера все были пропатчены по самые @@, незнаю даже на что думать. З.Ы.Ы. Разослал семплы антивирусникам, но пока никакого ответа..

Ссылка

←	apache с mysql в chroot среде

Как отвязать DrWeb от Postfix?

→

Разница в размере между зараженными и чистыми постоянная ? Если да, то сколько байт ? Проверь clamscanом, он хорошо и линуксовые вири должен находить.

chucha ★★★☆
(18.10.04 19:17:16 MSD)

Ответ на: комментарий от chucha 18.10.04 19:17:16 MSD

> Разница в размере между зараженными и чистыми постоянная ? 
Нет, вот разница в размерах для 3х файлов: 5636, 5520, 2576 bytes... 

> Проверь clamscanом, он хорошо и линуксовые вири должен находить.
Пробовал, чистые говорит... и так все остальные антивирусы: DrWeb, Касперский, McAfee...

BioByte ★
(18.10.04 19:43:06 MSD) автор топика

Ответ на: комментарий от BioByte 18.10.04 19:43:06 MSD

Ну trend micro еще попробуй, а вообще, лучше сноси и устанавливай все заново, не забыв про security обновления...

chucha ★★★☆
(18.10.04 19:56:35 MSD)

Ответ на: комментарий от chucha 18.10.04 19:56:35 MSD

> Ну trend micro еще попробуй

Попробовал их онлайн сканером, тоже типа чистые говорит :(

> лучше сноси и устанавливай все заново, не забыв про security обновления...

Апдейты там были, и все апдейты ставились в тот же день как выходили да и локальных юзеров нет и т.п... Поэтому мягко сказать, удивляюсь что это такое... На счет сносить, тема конечно правильная, но напряжная, сервера удаленные, пока провов распинаешь. Поэтому хотелось бы сначала локализовать проблему, дабы избежать дубля...

BioByte ★
(18.10.04 20:34:00 MSD) автор топика

Ответ на: комментарий от BioByte 18.10.04 20:34:00 MSD

На будущее надо бы tripwire ставить.

а что за дистрибутив?

что за файлы меняются?

anonymous
(18.10.04 20:55:35 MSD)

Ответ на: комментарий от BioByte 18.10.04 20:34:00 MSD

с вероятностью в 99,9% это не вирь, а хитровы@ный троянец.... тут тока хороший дизасемблер и знание асма может помочь - если не того ни другого нет - ставь по новой пингвина....

palach ★
(18.10.04 21:09:08 MSD)

Ссылка

Ответ на: комментарий от anonymous 18.10.04 20:55:35 MSD

> На будущее надо бы tripwire ставить. Стоит, и именно по логам tripwire стало ясно, что файлы были заменены. Сейчас проверил файлы меняются при запуске daily крона, весь софт, который запускается по этому событию был переставлен и проверен по контрольным сумам, однако не помогло...

BioByte ★
(18.10.04 21:59:13 MSD) автор топика

Ответ на: комментарий от BioByte 18.10.04 21:59:13 MSD

Так мужики, кажись это все с тяжелого похмелия :) Видимо дело было так, накатил апдейты обновил базу трипвари, а по утру эти файлы накрыл prelink, а после я про него просто забыл... ладно пойду проверять эту версию...

BioByte ★
(18.10.04 22:31:48 MSD) автор топика

Ответ на: комментарий от BioByte 18.10.04 22:31:48 MSD

А зачем на серверах prelink ???

chucha ★★★☆
(19.10.04 09:30:51 MSD)

Ответ на: комментарий от chucha 19.10.04 09:30:51 MSD

> А зачем на серверах prelink ???

Нахрен не нужен (с) Прощелкал я его, и даже не сразу заметил и сообразил, что он такую подлость может сделать...

BioByte ★
(19.10.04 10:59:25 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	apache с mysql в chroot среде

Admin

Как отвязать DrWeb от Postfix?

→

Похожие темы