Исправление fractaler, (текущая версия) :
2 All первый раз за 5 лет использования подобной конфигурации проблемы. Хотя и раньше не спешил ставить обновления. Видимо, технологии шагнули вперёд. Есть ещё 2 аналогичных сервера, они пока чистые, но теперь придётся побеспокоится.
1. Не жалуюсь.
2, 3. Спасибо, посмотрю.
4. Посмотрю, хотя выглядит как крупный калибр для мелких задач.
5. Пароли были слабые в расчёте на то, что закрыты порты. Вообще странно, если взломан ssh, то зачем руткит? Он же палится, а ssh итак есть.
netstat -tulepn на той слаквари покажите
# netstat -tulepn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 0 8930 2653/perl
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 0 7593 1940/inetd
tcp 0 0 192.168.2.22:53 0.0.0.0:* LISTEN 0 8236 1949/named
tcp 0 0 192.168.1.22:53 0.0.0.0:* LISTEN 0 8234 1949/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 7604 1946/sshd
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 0 753598 27221/sfewfesfsh
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 0 7609 1949/named
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 0 7590 1940/inetd
tcp 0 0 192.168.1.22:777 0.0.0.0:* LISTEN 0 8140 2541/darkstat
tcp 0 0 :::80 :::* LISTEN 0 8831 2513/httpd
tcp 0 0 ::1:953 :::* LISTEN 0 7610 1949/named
udp 0 0 0.0.0.0:512 0.0.0.0:* 0 7592 1940/inetd
udp 0 0 0.0.0.0:37 0.0.0.0:* 0 7591 1940/inetd
udp 0 0 192.168.2.22:53 0.0.0.0:* 0 8235 1949/named
udp 0 0 192.168.1.22:53 0.0.0.0:* 0 8233 1949/named
udp 0 0 0.0.0.0:10000 0.0.0.0:* 0 8931 2653/perl
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 0 753598 27221/sfewfesfsh
Это руткит.
bormant>Позволите несколько уточняющих вопросов? Спасибо.
1. Backdoor.Linux.Ganiw.a или TROJ_GEN.F47V0411
2. Slackware 13.37.0 вообще-то current, но обновляю не слишком часто.
3. Да, процесс запущен от суперпользователя.
4. Нет, не устанавливались. Шлюз же. Никаких сервисов наружу. Теперь, видимо, буду пунктуальней.
# ls -lt /var/log/packages | head
итого 16348
-rw-r--r-- 1 root root 3454 авг. 26 2012 p7zip-9.20.1-i486-1sl
-rw-r--r-- 1 root root 87332 авг. 10 2012 squid-3.1.20-i486-20120810r10470
-rw-r--r-- 1 root root 6405 июля 14 2012 bsd-games-2.13-i486-12
-rw-r--r-- 1 root root 1031 июля 14 2012 xxgdb-1.12-i486-3
-rw-r--r-- 1 root root 963 июля 14 2012 xv-3.10a-i486-6
-rw-r--r-- 1 root root 25047 июля 14 2012 xscreensaver-5.15-i486-2
-rw-r--r-- 1 root root 11491 июля 14 2012 xsane-0.998-i486-1
-rw-r--r-- 1 root root 10705 июля 14 2012 xpdf-3.02pl6-i486-3
-rw-r--r-- 1 root root 9567 июля 14 2012 xpaint-2.8.16-i486-1
Исправление fractaler, :
2 All первый раз за 5 лет использования подобной конфигурации проблемы. Хотя и раньше не спешил ставить обновления. Видимо, технологии шагнули вперёд. Есть ещё 2 аналогичных сервера, они пока чистые, но теперь придётся побеспокоится.
1. Не жалуюсь.
2, 3. Спасибо, посмотрю.
4. Посмотрю, хотя выглядит как крупный калибр для мелких задач.
5. Пароли были слабые в расчёте на то, что закрыты порты. Вообще странно, если взломан ssh, то зачем руткит? Он же палится, а ssh итак есть.
netstat -tulepn на той слаквари покажите
# netstat -tulepn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 0 8930 2653/perl
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 0 7593 1940/inetd
tcp 0 0 192.168.2.22:53 0.0.0.0:* LISTEN 0 8236 1949/named
tcp 0 0 192.168.1.22:53 0.0.0.0:* LISTEN 0 8234 1949/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 7604 1946/sshd
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 0 753598 27221/sfewfesfsh
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 0 7609 1949/named
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 0 7590 1940/inetd
tcp 0 0 192.168.1.22:777 0.0.0.0:* LISTEN 0 8140 2541/darkstat
tcp 0 0 :::80 :::* LISTEN 0 8831 2513/httpd
tcp 0 0 ::1:953 :::* LISTEN 0 7610 1949/named
udp 0 0 0.0.0.0:512 0.0.0.0:* 0 7592 1940/inetd
udp 0 0 0.0.0.0:37 0.0.0.0:* 0 7591 1940/inetd
udp 0 0 192.168.2.22:53 0.0.0.0:* 0 8235 1949/named
udp 0 0 192.168.1.22:53 0.0.0.0:* 0 8233 1949/named
udp 0 0 0.0.0.0:10000 0.0.0.0:* 0 8931 2653/perl
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 0 753598 27221/sfewfesfsh
Это руткит.
bormant>Позволите несколько уточняющих вопросов? Спасибо.
1. Backdoor.Linux.Ganiw.a или TROJ_GEN.F47V0411
2. Slackware 13.37.0 вообще-то current, но обновляю не слишком часто.
3. Да, процесс запущен от суперпользователя.
4. Нет, не устанавливались. Шлюз же. Никаких сервисов наружу. Теперь, видимо, буду пунктуальней.
# ls -lt /var/log/packages | head
итого 16348
-rw-r--r-- 1 root root 3454 авг. 26 2012 p7zip-9.20.1-i486-1sl
-rw-r--r-- 1 root root 87332 авг. 10 2012 squid-3.1.20-i486-20120810r10470
-rw-r--r-- 1 root root 6405 июля 14 2012 bsd-games-2.13-i486-12
-rw-r--r-- 1 root root 1031 июля 14 2012 xxgdb-1.12-i486-3
-rw-r--r-- 1 root root 963 июля 14 2012 xv-3.10a-i486-6
-rw-r--r-- 1 root root 25047 июля 14 2012 xscreensaver-5.15-i486-2
-rw-r--r-- 1 root root 11491 июля 14 2012 xsane-0.998-i486-1
-rw-r--r-- 1 root root 10705 июля 14 2012 xpdf-3.02pl6-i486-3
-rw-r--r-- 1 root root 9567 июля 14 2012 xpaint-2.8.16-i486-1
Исходная версия fractaler, :
2 All первый раз за 5 лет использования подобной конфигурации проблемы. Хотя и раньше не спешил ставить обновления. Видимо, технологии шагнули вперёд. Есть ещё 2 аналогичных сервера, они пока чистые, но теперь придётся побеспокоится.
1. Не жалуюсь.
2, 3. Спасибо, посмотрю.
4. Посмотрю, хотя выглядит как крупный калибр для мелких задач.
5. Пароли были слабые в расчёте на то, что закрыты порты. Вообще странно, если взломан ssh, то зачем руткит? Он же палится, а ssh итак есть.
netstat -tulepn на той слаквари покажите
# netstat -tulepn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 0 8930 2653/perl
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 0 7593 1940/inetd
tcp 0 0 192.168.2.22:53 0.0.0.0:* LISTEN 0 8236 1949/named
tcp 0 0 192.168.1.22:53 0.0.0.0:* LISTEN 0 8234 1949/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 7604 1946/sshd
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 0 753598 27221/sfewfesfsh
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 0 7609 1949/named
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 0 7590 1940/inetd
tcp 0 0 192.168.1.22:777 0.0.0.0:* LISTEN 0 8140 2541/darkstat
tcp 0 0 :::80 :::* LISTEN 0 8831 2513/httpd
tcp 0 0 ::1:953 :::* LISTEN 0 7610 1949/named
udp 0 0 0.0.0.0:512 0.0.0.0:* 0 7592 1940/inetd
udp 0 0 0.0.0.0:37 0.0.0.0:* 0 7591 1940/inetd
udp 0 0 192.168.2.22:53 0.0.0.0:* 0 8235 1949/named
udp 0 0 192.168.1.22:53 0.0.0.0:* 0 8233 1949/named
udp 0 0 0.0.0.0:10000 0.0.0.0:* 0 8931 2653/perl
tcp 0 0 127.0.0.1:10808 0.0.0.0:* LISTEN 0 753598 27221/sfewfesfsh
Это руткит.
bormant>Позволите несколько уточняющих вопросов? Спасибо.
1. Backdoor.Linux.Ganiw.a или TROJ_GEN.F47V0411
2. Slackware 13.37.0 вообще-то current, но обновляю не слишком часто.
3. Да, процесс запущен от суперпользователя.
4. Нет, не устанавливались. Шлюз же. Никаких сервисов наружу. Теперь, видимо, буду пунктуальней.
# ls -lt /var/log/packages | head
итого 16348
-rw-r--r-- 1 root root 3454 авг. 26 2012 p7zip-9.20.1-i486-1sl
-rw-r--r-- 1 root root 87332 авг. 10 2012 squid-3.1.20-i486-20120810r10470
-rw-r--r-- 1 root root 6405 июля 14 2012 bsd-games-2.13-i486-12
-rw-r--r-- 1 root root 1031 июля 14 2012 xxgdb-1.12-i486-3
-rw-r--r-- 1 root root 963 июля 14 2012 xv-3.10a-i486-6
-rw-r--r-- 1 root root 25047 июля 14 2012 xscreensaver-5.15-i486-2
-rw-r--r-- 1 root root 11491 июля 14 2012 xsane-0.998-i486-1
-rw-r--r-- 1 root root 10705 июля 14 2012 xpdf-3.02pl6-i486-3
-rw-r--r-- 1 root root 9567 июля 14 2012 xpaint-2.8.16-i486-1