Вирусы, трояны, руткиты

[Roman]

Решил проверить FreeBSD chkrootkit и он мне выдал

Код: Выделить всё

...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
...

Что это могло значить 'bindshell'... INFECTED (PORTS: 1524 31337) ???? Читал в Инете что PortSentry может выдавать такое. Пробовал без него....тоже самое

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

Решил проверить FreeBSD chkrootkit и он мне выдал

Код: Выделить всё

...
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
...

Что это могло значить 'bindshell'... INFECTED (PORTS: 1524 31337) ???? Читал в Инете что PortSentry может выдавать такое. Пробовал без него....тоже самое

ну а где этот биндшелл лежит?
Кто слушает эти порты?

[Roman]

Ну вообще, слушает эти порты и многие другие PortSentry. А где лежит bindshell я и незнаю, не нашел поиском (даже незнаю что это такое). В других статьях читал, что придется переустанавливать всю систему заново ( с форматированием).

[Alex Keda]

Ну вообще, слушает эти порты и многие другие PortSentry. А где лежит bindshell я и незнаю, не нашел поиском (даже незнаю что это такое). В других статьях читал, что придется переустанавливать всю систему заново ( с форматированием).

яндекс - вторая или третья ссылка...

сноси. так будет спокойней....
со старой машины бери тока конфиги, предварительно просмотрев - соответствуют ли они тому что ты туда писал.

пароли сложные сразу придумай....

===
примерно так....

[Roman]

Я сначала подумал закрыть эти порты, наверное это неверная мысль...НО...что бы так сделать, никто об этом не писал (в статьях в интернете). И решил сделать, как советуют люди (как пишешь и ты). Пароли у меня сложные (были....КОНЕЧНО.... и будут всегда). Но вот вопрос, как в следующий раз не допустить такие вещи ?????????? ( НА БУДУЮЩЕЕ !!!)

[Alex Keda]

Для начала - если есть возможность то вин сними с машины и убери в тумбочку - на досуге загрузишься с него на другой машине и будешь потихоньку ковыряться - что где почему.

А воч что делать... х.з. - никто не застрахован. Надо поменьше дыр наружу/ всё прикрыть приложения вовремя обновлять.... обычные советы... - можно приделать отсыл письма себе куданить наружу на всяие непонятности типа изменеие паролей/ новые учётки/ новые открытые порты... shell+ 5 минут работы на такой скрипт...

[Roman]

Понятно. Так как я ставил приложения с портов (с официальных сайтов), вопрос: можно ли скопировать файлы /usr/ports/distfiles и устанавливать порты из них....а то неохота тянуть все это из Интернета (т.к. у меня модем), а потом все это дело обновить (через Portupgrade) ??????

[Alex Keda]

можно с одной оговоркой - тока дистфилес (всё дерево не бери) - и если вдруг md5 не совпадёт при установке - принудительно не ставь - лучше пусть заново качает

[Roman]

Перед сносом FreeBSD решил поудалалять приложения (порты). Удалил PortSentry....И...

Код: Выделить всё

.................
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
...................

но при последующей установке PortSentry опять...

Код: Выделить всё

.................
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... chkproc: nothing detected
...............

Теперь даже и незнаю ЧТО ДЕЛАТЬ ?????? Может удалить дистрибьютивы PortSentry (включая portsentry.tar.gz) и закачать из портов и установить другой дистрибьютив ?????

[Alex Keda]

слушай, а чем проверяешь?

[Roman]

chkrootkit-ом собранный из /usr/port/security

[Alex Keda]

забей. это он ругается ибо этот порт стандартный для этого руткита а на нём висит портсентри. убери этот порт из конфига - перестанет ))

====
от я тупой, а ты из-за меня чуть фрю не снёс....

[Roman]

Ничего страшного . Убрать из конфига PortSentry ??? Но он еще много портов слушает (стандартных руткитовских), почему тогда не показывает, что другие порты "INFECTED" ???

[Alex Keda]

это какие же? у меня тоже на всех машинах где порсентри ругнулся на это порт.

[Roman]

Я попробовал убрать с конфига PortSentry эти порты и все нормально стало (потом опять вернул, пусть слушает и chkrootkit ругается). Я имел ввиду PortSentry слушает много портов , незнаю руткитовские они или нет, но ругается почему-то только на эти два порта (PORTS: 1524 31337)???

[Abigor]

попробуй вот этот сканер, черуткин давно уже не обновлялся
/usr/ports/security/rkhunter

[Roman]

Хорошо, попробую

[Roman]

Попробовал rkhunter...все нормально, только нашел одно уязвимое приложение OpenSSL 0.9.7e ??????

[Alex Keda]

обновить пора. уже openssl-stable-0.9.7i есть

[Roman]

А во что он входит...в Апаче что-ли

Код: Выделить всё

 pkg_version -v  

нет требуемых обновлений....и его там его не видно ???

[Alex Keda]

а

Код: Выделить всё

pkg_info | grep ssl

что даст?

[Roman]

а

Код: Выделить всё

pkg_info | grep ssl

что даст?

Ничего не дало
Правда лежит в /usr/src/crypto/openssl...и там куча папок и makefile (version=0.9.7e). Может это mkhunter и находит ??????????

[Alex Keda]

значит системный устарел. пора обновить мир, ну и ядро разумеется...

[Roman]

Да уж