LINUX.ORG.RU

Clamav удалил файлы /bin/chown; /bin/hostname итд, указав их как вирусы


0

2

Clamav удалил файлы /bin/chown; /bin/hostname итд, указав их как вирусы Как можно переустановить эти программы. Может быть переустановит базовую часть системы? Можно ли это сделать с помощью yum в CentOS?

переставьте пакет coreutils

Sylvia ★★★★★ ()
Ответ на: комментарий от Sylvia

переустановил coreutils (yum reinstall coreutils), не помогло. /bin/hostname не появился.

ChAnton ★★ ()

Не, ну я конечно слышал про каспера, который сносил нафик shell32.dll и т.п... Выходит, прогресс и до нас добрался, что не может не радовать.

Cancellor ★★★★☆ ()
Ответ на: комментарий от Sylvia

Видимо вирус подменил некоторые бинарники. Висело 200 процессов ./ssh 270...

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

где вы вообще ухитрились подцепить вирус ? )
обычно после массированного заражения, да еще и с подозрительной активностью на взлом, лучше одним лишь clamav не ограничиваться, а проверить систему на руткиты и прочие радости... а может даже и просто переустановить

Sylvia ★★★★★ ()

У тебя был вирус на Линуксе??? Аплодирую стоя

zakot ()
Ответ на: комментарий от Cancellor

Купили дедик на хостере 2 недели назад. Хостер через неделю не предупредив, подрубился на этот сервер через внутренний интерфейс с ихней локалки, поменял на рута неделю назад, ковырялся сутки на сервкаке, потом увел его в ребут и прислал тикет, что типа мы Вам обновили и выдали новый сервер. Причем свой внутренний интерфейс так и оставили включенным в свою сетку. Мы естессно все поменяли, закрыли, но через неделю вот такая байда)))

ChAnton ★★ ()
Ответ на: комментарий от zakot

Да, причем я за полгода видел подобное 3 раза в разных местах. В одном месте даже на файловой системе была создана отдельная директория с аккуратно написанными шелл скриптами, лежали уже готовые бинарники, некоторые клоны системный директорий, и даже снимок live-cd-knoppix. И отрабатывались некие процессы которые собирали инфу по dns по инету. Но это бы ло совсем в другом месте. Звали полечить))))

ChAnton ★★ ()
Ответ на: комментарий от Sylvia

Какие вообще средства посоветуете для того чтобы произвести глубокую проверку? Кроме clamav?

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

претензии к хостеру предьявили по поводу того что лезут куда не просят?

Sylvia ★★★★★ ()
Ответ на: комментарий от ChAnton

Переустановить нафик систему. Вендоподобным проблемам - вендоподобные решения :-)

Cancellor ★★★★☆ ()
Ответ на: комментарий от ChAnton

Прям гордость испытываю за Linux. Может же, когда хочет.

debian6 ()
Ответ на: комментарий от ChAnton

Это плохой знак Вирусная эпидемия о которой говорил Касперский началась???

zakot ()
Ответ на: комментарий от zakot

Этого я не знаю))) Наверное Касперский дописал последнюю пачку вирусов и таки выпустил их в инет.

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

Интересно как они получили права суперпользователя хотя скорее всего пользователь сам разрешил

zakot ()
Ответ на: комментарий от zakot

Они ребутнули сервер на площадке без нашего ведома, сменили рута и сделали апгрейд. Причем оставили поднятым интерфейс дополнительной сетевой карты с локальным ip адресом внутренней сетки.

ChAnton ★★ ()
Ответ на: комментарий от Sylvia

Кстати, а что можеь означать такой вот результат сканирования директории /usr clamav?

/usr/share/doc/clamav-0.96.2/test/clam_ISmsi_int.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.rtf: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.7z: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/.split/split.clam_IScab_ext.exeaa: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/.split/split.clam_IScab_int.exeaa: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-v3.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.bz2: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.pdf: BC.PDF.Parser-4.MalwareFound FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-pespin.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ea06.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.d64.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.szdd: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bin-be.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.odc.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_IScab_int.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-mew.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-aspack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.mbox.base64: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.mbox.uu: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ole.doc: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-v2.rar: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.arj: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.newc.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-wwpack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bz2.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ea05.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.tar.gz: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.impl.zip: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-upx.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.chm: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.binhex: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-petite.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.ppt: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_ISmsi_ext.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.mail: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.bin-le.cpio: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.sis: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-nsis.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.tnef: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_cache_emax.tgz: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-upack.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-yc.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam_IScab_ext.exe: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.cab: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam.exe.html: ClamAV-Test-File FOUND /usr/share/doc/clamav-0.96.2/test/clam-fsg.exe: ClamAV-Test-File FOUND

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

а сами подумайте ? тестовые файлы, для того чтобы убедиться в том, что clamav работает, загружает базы и способен по ним что-то определять.

Sylvia ★★★★★ ()
Ответ на: комментарий от zakot

>Это плохой знак Вирусная эпидемия о которой говорил Касперский началась???

Каспер таки осили написать рабочий вирус для linux:)

petrosyan ★★★★★ ()

Ну вот, а вы в соседнем топике спрашивали

Как защитить свою VPS от хостера?


Один же вывод - купить свой сервер и поставить на colocation доверенному провайдеру.

Umberto ★☆ ()
Ответ на: комментарий от ChAnton

На основании того что то просто тестовые файлы, то бишь типа вирус в лабораторных условиях, а вот настоящей чумы пока не было

zakot ()
Ответ на: комментарий от zakot

Да нет, Вы почитайте внимательней, я писал выше НЕ ТОЛЬКО о тестовых файлах. Я писал также о бинарниках в /bin, и многом другом. Примет с тестовыми файлами вообще отдельный случай)))

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

Тогда я значит не понял. Исправляюсь. Выходит гадость туда сложил провайдер???

zakot ()
Ответ на: комментарий от zakot

Есть подозрениме. Но это тлько предположение. Так как инцендент очевиден.

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

Учите rpm «rpm -q -f /bin/hostname», что бы не гадать какой пакет. Или ищите на rpm.pbone.net.

Ещё можно сделать «rpm -V -a» для проверки md5 файлов, на тот случай, если бинарники копировались поверх, без модификации rpm базы.

yum reinstall coreutils ЕМНИП, это опасно, yum reinstall сначала удалит пакет, потом попробует скачать точно такой же. Если скачать не получится, то ничего не установится. А удалённые файлы обратно не восстановятся.

Как вариант,

«rpm -e --justdb --nodeps ИМЯ_пакета» --- удалить пакет только из базы

«yum -y install ИМЯ_пакета» --- установить пакет.

Или сначала руками скачивать rpm, а потом устанавливать.

mky ★★★★★ ()
Ответ на: комментарий от Sylvia

>rootkit hunter chkrootkit

Ну что же вы такое советуете человеку. Это безобразие выдает множество неверных уведомлений безопасности даже на абсолютно чистых системах.

Enoch ()
Ответ на: комментарий от Enoch

>Ну что же вы такое советуете человеку. Это безобразие выдает множество неверных уведомлений безопасности даже на абсолютно чистых системах.

дык их читать надо, они не неверные, а подозрительные.

(ну например кто-то пересобрал coreutils, например я. вот мне и докладывают. А как иначе? А если не я? А если su кто-то фиксил?)

drBatty ★★ ()
Ответ на: комментарий от drBatty

Мне chkrootkit на свежеустановленной FreeBSD находил руткиты.

Enoch ()
Ответ на: комментарий от Cancellor

>Не, ну я конечно слышал про каспера, который сносил нафик shell32.dll и т.п... Выходит, прогресс и до нас добрался, что не может не радовать.

У одного товарища как-то доктор веб сам себя вирусом посчитал и пытался удалить. А не получалось, ибо «процесс занят». В итоге он сыпал сообщениями через каждые минуты 2...

Zhbert ★★★★★ ()
Ответ на: комментарий от Enoch

>Мне chkrootkit на свежеустановленной FreeBSD находил руткиты.

именно руткиты? или предупреждения? какие?

Вы правы лишь в том, что chkrootkit это не антикаспервирусовского, там иногда думать надо. к тому же, антикаспер ищет сигнатуры вирусов, а chkrootkit проверяет целостность файлов, права, и проч. Ну и полсотни сигнатур тоже.

PS: проверил - ничего у меня не нашла.

drBatty ★★ ()
Ответ на: комментарий от drBatty

>именно руткиты? или предупреждения? какие?

Ой, не помню уже, было на FreeBSD 7.0. Давно было. Но было.

Enoch ()
Ответ на: комментарий от Enoch

дык кто спорит? бывает конечно. Помню в Mandriva так вообще права на корень сами по себе (после обновления) сменились на 1777. Дык об этом почти никто не узнал. Я сам только случайно набрал ls -la, и удивился, что корень у зелёный как /tmp. Ну ошиблись... Как такие вещи отлавливать? А если вправду - атака?

drBatty ★★ ()
Ответ на: комментарий от drBatty

>Как такие вещи отлавливать? А если вправду - атака?

Я же говорил, md5-суммы собрать всех важных скриптов и бинарников и хранить отдельно. Периодически проверять, например. Но это мое мнение.

Enoch ()
Ответ на: комментарий от Enoch

>Я же говорил, md5-суммы собрать всех важных скриптов и бинарников и хранить отдельно. Периодически проверять, например. Но это мое мнение.

я так и делаю.(у меня скрипт есть) и mount -o ro на /usr, и nosuid,nodev,noexec на всё остальное, и ещё некоторые вещи, но это уже паранойя. На большинстве систем это излишне ИМХО. А если админ не понимает, что там ему chkrootkit пишет, то ему никакая SHA-512 не поможет.

Кстати, в Mandriva впилили msec - проверка прав, и (вроде-бы) md5. Хотя может уже и выпилили. Причём впилили по умолчанию.

drBatty ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.