Вирусы, трояны, руткиты

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Вирусы, трояны, руткиты

Непрочитанное сообщение Roman » 2006-03-31 21:34:01

Решил проверить FreeBSD chkrootkit и он мне выдал

Код: Выделить всё

...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
...
Что это могло значить 'bindshell'... INFECTED (PORTS: 1524 31337) ???? Читал в Инете что PortSentry может выдавать такое. Пробовал без него....тоже самое

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вирусы, трояны, руткиты

Непрочитанное сообщение Alex Keda » 2006-04-01 9:59:02

Roman писал(а):Решил проверить FreeBSD chkrootkit и он мне выдал

Код: Выделить всё

...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
...
Что это могло значить 'bindshell'... INFECTED (PORTS: 1524 31337) ???? Читал в Инете что PortSentry может выдавать такое. Пробовал без него....тоже самое
ну а где этот биндшелл лежит?
Кто слушает эти порты?
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-01 19:34:58

Ну вообще, слушает эти порты и многие другие PortSentry. А где лежит bindshell я и незнаю, не нашел поиском (даже незнаю что это такое). В других статьях читал, что придется переустанавливать всю систему заново ( с форматированием).

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-01 23:04:13

Roman писал(а):Ну вообще, слушает эти порты и многие другие PortSentry. А где лежит bindshell я и незнаю, не нашел поиском (даже незнаю что это такое). В других статьях читал, что придется переустанавливать всю систему заново ( с форматированием).
яндекс - вторая или третья ссылка...

сноси. так будет спокойней....
со старой машины бери тока конфиги, предварительно просмотрев - соответствуют ли они тому что ты туда писал.

пароли сложные сразу придумай....

===
примерно так....
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-02 19:33:39

Я сначала подумал закрыть эти порты, наверное это неверная мысль...НО...что бы так сделать, никто об этом не писал (в статьях в интернете). И решил сделать, как советуют люди (как пишешь и ты). Пароли у меня сложные :) (были....КОНЕЧНО.... и будут всегда). Но вот вопрос, как в следующий раз не допустить такие вещи ?????????? ( НА БУДУЮЩЕЕ !!!)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-02 21:34:12

Для начала - если есть возможность то вин сними с машины и убери в тумбочку - на досуге загрузишься с него на другой машине и будешь потихоньку ковыряться - что где почему.

А воч что делать... х.з. - никто не застрахован. Надо поменьше дыр наружу/ всё прикрыть приложения вовремя обновлять.... обычные советы... - можно приделать отсыл письма себе куданить наружу на всяие непонятности типа изменеие паролей/ новые учётки/ новые открытые порты... shell+ 5 минут работы на такой скрипт...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 8:54:57

Понятно. Так как я ставил приложения с портов (с официальных сайтов), вопрос: можно ли скопировать файлы /usr/ports/distfiles и устанавливать порты из них....а то неохота тянуть все это из Интернета (т.к. у меня модем), а потом все это дело обновить (через Portupgrade) ??????

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-03 9:14:10

можно с одной оговоркой - тока дистфилес (всё дерево не бери) - и если вдруг md5 не совпадёт при установке - принудительно не ставь - лучше пусть заново качает
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 10:01:54

Перед сносом FreeBSD решил поудалалять приложения (порты). Удалил PortSentry....И...

Код: Выделить всё

.................
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
...................
но при последующей установке PortSentry опять...

Код: Выделить всё

.................
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
...............
Теперь даже и незнаю ЧТО ДЕЛАТЬ ?????? Может удалить дистрибьютивы PortSentry (включая portsentry.tar.gz) и закачать из портов и установить другой дистрибьютив ????? :?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-03 10:04:58

слушай, а чем проверяешь?
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 10:14:21

chkrootkit-ом собранный из /usr/port/security

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-03 10:46:30

забей. это он ругается ибо этот порт стандартный для этого руткита а на нём висит портсентри. убери этот порт из конфига - перестанет :)))

====
от я тупой, а ты из-за меня чуть фрю не снёс....
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 11:02:50

Ничего страшного :). Убрать из конфига PortSentry ??? Но он еще много портов слушает (стандартных руткитовских), почему тогда не показывает, что другие порты "INFECTED" ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-03 11:41:06

это какие же? у меня тоже на всех машинах где порсентри ругнулся на это порт.
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 11:54:41

Я попробовал убрать с конфига PortSentry эти порты и все нормально стало (потом опять вернул, пусть слушает и chkrootkit ругается). Я имел ввиду PortSentry слушает много портов , незнаю руткитовские они или нет, но ругается почему-то только на эти два порта (PORTS: 1524 31337)???

Аватара пользователя
Abigor
старшина
Сообщения: 425
Зарегистрирован: 2006-03-02 11:13:15
Откуда: РФ. г. Иркутск
Контактная информация:

Непрочитанное сообщение Abigor » 2006-04-03 12:56:34

попробуй вот этот сканер, черуткин давно уже не обновлялся
/usr/ports/security/rkhunter

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 13:49:40

Хорошо, попробую

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-03 17:46:38

Попробовал rkhunter...все нормально, только нашел одно уязвимое приложение OpenSSL 0.9.7e ??????

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-03 22:43:13

обновить пора. уже openssl-stable-0.9.7i есть
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-05 8:22:16

А во что он входит...в Апаче что-ли

Код: Выделить всё

 pkg_version -v  
нет требуемых обновлений....и его там его не видно ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-05 8:40:33

а

Код: Выделить всё

pkg_info | grep ssl
что даст?
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-05 10:44:09

lissyara писал(а):а

Код: Выделить всё

pkg_info | grep ssl
что даст?
Ничего не дало :(
Правда лежит в /usr/src/crypto/openssl...и там куча папок и makefile (version=0.9.7e). Может это mkhunter и находит ??????????

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-04-05 16:37:58

значит системный устарел. пора обновить мир, ну и ядро разумеется...
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-04-05 17:09:57

Да уж :(