apt-get сдох после китайского руткита.

1

1

Руткит шлепнул, поврежденные бинарники скопировал обратно.

только вот apt-get ругает непонятно на что:

debian jessie

Ссылка

←	Failed to emerge dev-perl/Curses-1.280.0-r1

как пользоваться git diff?

→

/var/lib/dpkg/info/udev.postinst: 52: /var/lib/dpkg/info/udev.postinst: ps: not found
udev does not support containers, not started

roman77 ★★★★★
(10.09.15 10:29:21 MSK)

Ответ на: комментарий от roman77 10.09.15 10:29:21 MSK

А нет звезжу, ps я удалил, а новый не записал.

steemandlinux ★★★★★
(10.09.15 10:33:44 MSK) автор топика
Последнее исправление: steemandlinux 10.09.15 10:36:01 MSK (всего исправлений: 1)

Ответ на: комментарий от steemandlinux 10.09.15 10:33:44 MSK

ls -l `which ps`

дай вывод

roman77 ★★★★★
(10.09.15 10:37:01 MSK)

Ответ на: комментарий от roman77 10.09.15 10:37:01 MSK

Хотя все равно в лес посылает

Что-то ему selinux и rc.local не нравятся.

http://pastebin.com/epqK4BNi

steemandlinux ★★★★★
(10.09.15 10:38:43 MSK) автор топика

Ссылка

Ответ на: комментарий от roman77 10.09.15 10:37:01 MSK

-rwxr-xr-x 1 root staff 93232 Feb 10 2015 /usr/local/bin/ps

Это из ubuntu копированный.

steemandlinux ★★★★★
(10.09.15 10:39:26 MSK) автор топика
Последнее исправление: steemandlinux 10.09.15 10:40:46 MSK (всего исправлений: 1)

Очередная нубская тема закрыта. init selinux оказался поврежденным.

steemandlinux ★★★★★
(10.09.15 11:14:51 MSK) автор топика

Ссылка

Ответ на: комментарий от steemandlinux 10.09.15 10:39:26 MSK

http://manpages.ubuntu.com/manpages/natty/man1/debsums.1.html

roman77 ★★★★★
(10.09.15 11:15:06 MSK)

Ответ на: комментарий от roman77 10.09.15 11:15:06 MSK

Да уже поставил после фикса apt-get`а. Восстановил все пакеты.

steemandlinux ★★★★★
(10.09.15 11:23:04 MSK) автор топика

Ссылка

Ответ на: комментарий от roman77 10.09.15 11:15:06 MSK

https://www.virustotal.com/ru/file/df5a665a1debe514635aa93b8ce54e8d12e54477cb...

steemandlinux ★★★★★
(10.09.15 11:24:44 MSK) автор топика

На серваке пароль от рута есть во всех словарях для брутфорса :D

steemandlinux ★★★★★
(10.09.15 11:51:01 MSK) автор топика

Ответ на: комментарий от steemandlinux 10.09.15 11:51:01 MSK

слово «password»?

anonymous
(10.09.15 11:52:26 MSK)

Ответ на: комментарий от anonymous 10.09.15 11:52:26 MSK

p@ssw0rd

steemandlinux ★★★★★
(10.09.15 12:25:54 MSK) автор топика

Ссылка

После руткита - только в пересетап, никакого «переставить пакеты».

anonymous
(10.09.15 12:33:47 MSK)

Ссылка

Ответ на: комментарий от steemandlinux 10.09.15 11:24:44 MSK

А можете на файлообменник залить?

jori ★
(10.09.15 12:35:41 MSK)

Проверь все файлы по контрольным суммам!

Zubok ★★★★★
(10.09.15 12:42:50 MSK)

Ответ на: комментарий от jori 10.09.15 12:35:41 MSK

https://mega.nz/#!Hc41WACK!kInnqs_f7GiST5rp7WHCiFItNBerfx5ixlFVRfdD9s4

steemandlinux ★★★★★
(10.09.15 12:44:01 MSK) автор топика

Ответ на: комментарий от Zubok 10.09.15 12:42:50 MSK

Проверил. Пакеты переставил. Парочку кусков из /etc/ удалил, /etc/passwords хороший. Пароль поменял. Хорошо что в линуксе файлы и конфиги можно проверять по контрольным суммам.

steemandlinux ★★★★★
(10.09.15 12:45:31 MSK) автор топика

Ответ на: комментарий от steemandlinux 10.09.15 12:45:31 MSK

Хорошо что в линуксе файлы и конфиги можно проверять по контрольным суммам.

Хорошо, да. Но я могу представить себе умный руткит, который прописывает свой файл, считает ему контрольную сумму и прописывает ее вместо старой. По контрольной сумме все пройдет и будет казаться... В общем, если руткит не такой умный, то все ок. Иначе - полная переустановка системы.

Zubok ★★★★★
(10.09.15 12:48:07 MSK)

Ответ на: комментарий от steemandlinux 10.09.15 12:44:01 MSK

спс)

jori ★
(10.09.15 12:48:25 MSK)

Ссылка

Ответ на: комментарий от Zubok 10.09.15 12:48:07 MSK

apt-get update должен поменять контрольные суммы?

steemandlinux ★★★★★
(10.09.15 12:52:38 MSK) автор топика

Ответ на: комментарий от steemandlinux 10.09.15 12:52:38 MSK

apt-get update должен поменять контрольные суммы?

update вообще не трогает контрольные суммы. Он обновляет списки пакетов.

Zubok ★★★★★
(10.09.15 12:56:40 MSK)

Ссылка

Ответ на: комментарий от steemandlinux 10.09.15 12:52:38 MSK

Все контрольные суммы к пакетам лежат в /var/lib/dpkg/info/*.md5sums. Никто не мешает зловреду прописать туда что угодно. После этого проверка на КС пройдет. Можно попробовать сделать --reinstall всем установленным пакетам. Тогда они снова скачаются и перезапишутся. Перезапишутся и контрольные суммы.

Левые же пакеты не из репозиториев надо удалить или проверить отдельно.

UPD. А еще надо бы найти и проверить файлы, которые не принадлежат ни одному пакету из репов.

Zubok ★★★★★
(10.09.15 13:00:58 MSK)
Последнее исправление: Zubok 10.09.15 13:09:26 MSK (всего исправлений: 3)

Ответ на: комментарий от Zubok 10.09.15 13:00:58 MSK

Бред какой-то, зеркало попробовал поменять, не помогло, хотя остальные пакеты скачались.

apt-get install --reinstall dmeventd
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Reinstallation of dmeventd is not possible, it cannot be downloaded.
0 upgraded, 0 newly installed, 0 to remove and 1 not upgraded.

steemandlinux ★★★★★
(10.09.15 13:27:40 MSK) автор топика