Clamav удалил файлы /bin/chown; /bin/hostname итд, указав их как вирусы

переставьте пакет coreutils

hostname может быть также и в пакете net-tools

переустановил coreutils (yum reinstall coreutils), не помогло. /bin/hostname не появился.

net-tools помог

Не, ну я конечно слышал про каспера, который сносил нафик shell32.dll и т.п... Выходит, прогресс и до нас добрался, что не может не радовать.

Видимо вирус подменил некоторые бинарники. Висело 200 процессов ./ssh 270...

где вы вообще ухитрились подцепить вирус ? )
обычно после массированного заражения, да еще и с подозрительной активностью на взлом, лучше одним лишь clamav не ограничиваться, а проверить систему на руткиты и прочие радости... а может даже и просто переустановить

У тебя был вирус на Линуксе??? Аплодирую стоя

Купили дедик на хостере 2 недели назад. Хостер через неделю не предупредив, подрубился на этот сервер через внутренний интерфейс с ихней локалки, поменял на рута неделю назад, ковырялся сутки на сервкаке, потом увел его в ребут и прислал тикет, что типа мы Вам обновили и выдали новый сервер. Причем свой внутренний интерфейс так и оставили включенным в свою сетку. Мы естессно все поменяли, закрыли, но через неделю вот такая байда)))

Да, причем я за полгода видел подобное 3 раза в разных местах. В одном месте даже на файловой системе была создана отдельная директория с аккуратно написанными шелл скриптами, лежали уже готовые бинарники, некоторые клоны системный директорий, и даже снимок live-cd-knoppix. И отрабатывались некие процессы которые собирали инфу по dns по инету. Но это бы ло совсем в другом месте. Звали полечить))))

Какие вообще средства посоветуете для того чтобы произвести глубокую проверку? Кроме clamav?

претензии к хостеру предьявили по поводу того что лезут куда не просят?

rootkit hunter
chkrootkit

хотя бы, для начала

Переустановить нафик систему. Вендоподобным проблемам - вендоподобные решения :-)

Прям гордость испытываю за Linux. Может же, когда хочет.

Это плохой знак Вирусная эпидемия о которой говорил Касперский началась???

Этого я не знаю))) Наверное Касперский дописал последнюю пачку вирусов и таки выпустил их в инет.

Интересно как они получили права суперпользователя хотя скорее всего пользователь сам разрешил

Они ребутнули сервер на площадке без нашего ведома, сменили рута и сделали апгрейд. Причем оставили поднятым интерфейс дополнительной сетевой карты с локальным ip адресом внутренней сетки.

Кстати, а что можеь означать такой вот результат сканирования директории /usr clamav?

/usr/share/doc/clamav-0.96.2/test/clam_ISmsi_int.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.rtf: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.7z: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/.split/split.clam_IScab_ext.exeaa: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/.split/split.clam_IScab_int.exeaa: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-v3.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.bz2: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.pdf: BC.PDF.Parser-4.MalwareFound FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-pespin.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ea06.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.d64.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.szdd: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bin-be.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.odc.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_IScab_int.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-mew.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-aspack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.mbox.base64: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.mbox.uu: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ole.doc: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-v2.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.arj: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.newc.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-wwpack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bz2.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ea05.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.tar.gz: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.impl.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-upx.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.chm: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.binhex: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-petite.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ppt: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_ISmsi_ext.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.mail: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bin-le.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.sis: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-nsis.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.tnef: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_cache_emax.tgz: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-upack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-yc.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_IScab_ext.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.cab: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.html: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-fsg.exe: ClamAV-Test-File FOUND

Какой-нибудь аналог вот этого: http://www.eicar.org/anti_virus_test_file.htm

а сами подумайте ? тестовые файлы, для того чтобы убедиться в том, что clamav работает, загружает базы и способен по ним что-то определять.

Значит эпидемия отменяется

>Это плохой знак Вирусная эпидемия о которой говорил Касперский началась???

Каспер таки осили написать рабочий вирус для linux:)

Как выяснилось что нет

Это на основании чего выяснилось?

Ну вот, а вы в соседнем топике спрашивали

Как защитить свою VPS от хостера?

Один же вывод - купить свой сервер и поставить на colocation доверенному провайдеру.

На основании того что то просто тестовые файлы, то бишь типа вирус в лабораторных условиях, а вот настоящей чумы пока не было

Да нет, Вы почитайте внимательней, я писал выше НЕ ТОЛЬКО о тестовых файлах. Я писал также о бинарниках в /bin, и многом другом. Примет с тестовыми файлами вообще отдельный случай)))

Тогда я значит не понял. Исправляюсь. Выходит гадость туда сложил провайдер???

Есть подозрениме. Но это тлько предположение. Так как инцендент очевиден.

Учите rpm «rpm -q -f /bin/hostname», что бы не гадать какой пакет. Или ищите на rpm.pbone.net.

Ещё можно сделать «rpm -V -a» для проверки md5 файлов, на тот случай, если бинарники копировались поверх, без модификации rpm базы.

yum reinstall coreutils ЕМНИП, это опасно, yum reinstall сначала удалит пакет, потом попробует скачать точно такой же. Если скачать не получится, то ничего не установится. А удалённые файлы обратно не восстановятся.

Как вариант,

«rpm -e --justdb --nodeps ИМЯ_пакета» --- удалить пакет только из базы

«yum -y install ИМЯ_пакета» --- установить пакет.

Или сначала руками скачивать rpm, а потом устанавливать.

>rootkit hunter chkrootkit

Ну что же вы такое советуете человеку. Это безобразие выдает множество неверных уведомлений безопасности даже на абсолютно чистых системах.

>Ну что же вы такое советуете человеку. Это безобразие выдает множество неверных уведомлений безопасности даже на абсолютно чистых системах.

дык их читать надо, они не неверные, а подозрительные.

(ну например кто-то пересобрал coreutils, например я. вот мне и докладывают. А как иначе? А если не я? А если su кто-то фиксил?)

Мне chkrootkit на свежеустановленной FreeBSD находил руткиты.

>Не, ну я конечно слышал про каспера, который сносил нафик shell32.dll и т.п... Выходит, прогресс и до нас добрался, что не может не радовать.

У одного товарища как-то доктор веб сам себя вирусом посчитал и пытался удалить. А не получалось, ибо «процесс занят». В итоге он сыпал сообщениями через каждые минуты 2...

>Мне chkrootkit на свежеустановленной FreeBSD находил руткиты.

именно руткиты? или предупреждения? какие?

Вы правы лишь в том, что chkrootkit это не антикаспервирусовского, там иногда думать надо. к тому же, антикаспер ищет сигнатуры вирусов, а chkrootkit проверяет целостность файлов, права, и проч. Ну и полсотни сигнатур тоже.

PS: проверил - ничего у меня не нашла.

>именно руткиты? или предупреждения? какие?

Ой, не помню уже, было на FreeBSD 7.0. Давно было. Но было.

дык кто спорит? бывает конечно. Помню в Mandriva так вообще права на корень сами по себе (после обновления) сменились на 1777. Дык об этом почти никто не узнал. Я сам только случайно набрал ls -la, и удивился, что корень у зелёный как /tmp. Ну ошиблись... Как такие вещи отлавливать? А если вправду - атака?

>Как такие вещи отлавливать? А если вправду - атака?

Я же говорил, md5-суммы собрать всех важных скриптов и бинарников и хранить отдельно. Периодически проверять, например. Но это мое мнение.

>Я же говорил, md5-суммы собрать всех важных скриптов и бинарников и хранить отдельно. Периодически проверять, например. Но это мое мнение.

я так и делаю.(у меня скрипт есть) и mount -o ro на /usr, и nosuid,nodev,noexec на всё остальное, и ещё некоторые вещи, но это уже паранойя. На большинстве систем это излишне ИМХО. А если админ не понимает, что там ему chkrootkit пишет, то ему никакая SHA-512 не поможет.

Кстати, в Mandriva впилили msec - проверка прав, и (вроде-бы) md5. Хотя может уже и выпилили. Причём впилили по умолчанию.

Скриптиком поделитесь? :)