Руткит

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Greeb
рядовой
Сообщения: 38
Зарегистрирован: 2010-02-27 2:13:27

Руткит

Непрочитанное сообщение Greeb » 2010-05-28 23:52:54

Доброго времени суток...Возникла следующая проблема: какойто процесс создает кучу tcp соединений с группой ip адресов и одним DNS адресом, который имеет вид someadress.mail..smtp . подозреваю что на серваке завелся руткит или вирус... С помощью Ipfw я заблокировал доступ к этим адресам, но это не решение проблемы, надо вычислить какой процесс создает эти подключения... Собсна вопрос: как ето сделать???

З.Ы. Сканил кламавом - ниче не нашел(
Последний раз редактировалось f_andrey 2010-05-29 10:00:33, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения. оформляйте сообщен е по человечески, приводите полную диагностику, больше логов больше вероятности ответа, а не флуда

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Руткит

Непрочитанное сообщение FreeBSP » 2010-05-29 0:38:48

sockstat
и проверьте наличие акков кроме рута и toor c uid == 0
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Руткит

Непрочитанное сообщение terminus » 2010-05-29 9:19:43

Код: Выделить всё

uname -a
:Search:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Greeb
рядовой
Сообщения: 38
Зарегистрирован: 2010-02-27 2:13:27

Re: Руткит

Непрочитанное сообщение Greeb » 2010-05-29 14:50:02

uname -a
FreeBSD server.nezhin 7.2-RELEASE-p3 FreeBSD 7.2-RELEASE-p3 #1: Sun Aug 23 20:13:55 UTC 2009 imp@server.nezhin:/usr/obj/usr/src/sys/main_kernell.2009-29-07 i386

Блин как прибить ету заразу? А главное как ее вычислить??

Greeb
рядовой
Сообщения: 38
Зарегистрирован: 2010-02-27 2:13:27

Re: Руткит

Непрочитанное сообщение Greeb » 2010-05-29 16:28:31

Вот sockstat

Код: Выделить всё

USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
imp      sshd       8727  3  tcp4   192.168.0.1:22        192.168.0.243:3782
imp      sshd       8727  4  stream -> ??
root     sshd       8724  3  tcp4   192.168.0.1:22        192.168.0.243:3782
root     sshd       8724  5  stream -> ??
root     sshd       1208  3  tcp6   *:22                  *:*
root     sshd       1208  4  tcp4   *:22                  *:*
www      httpd      1207  16 tcp4   *:80                  *:*
www      httpd      1206  16 tcp4   *:80                  *:*
www      httpd      1205  16 tcp4   *:80                  *:*
www      httpd      1204  16 tcp4   *:80                  *:*
www      httpd      1203  16 tcp4   *:80                  *:*
root     httpd      1190  16 tcp4   *:80                  *:*
nobody   darkstat   1179  3  stream -> ??
nobody   darkstat   1178  7  stream -> ??
nobody   darkstat   1178  8  tcp4   192.168.0.1:667       *:*
root     samsdaemon 1166  3  dgram  -> /var/run/logpriv
root     samsdaemon 1166  4  stream -> /tmp/mysql.sock
root     samsdaemon 1166  5  stream -> /tmp/mysql.sock
mysql    mysqld     1158  10 tcp4   *:3306                *:*
mysql    mysqld     1158  12 stream /tmp/mysql.sock
mysql    mysqld     1158  29 stream /tmp/mysql.sock
mysql    mysqld     1158  30 stream /tmp/mysql.sock
squid    squid      1050  3  dgram  -> /var/run/log
squid    squid      1050  6  udp4   *:56786               *:*
squid    squid      1050  12 tcp4   195.211.101.39:80     192.168.0.243:3757
squid    squid      1050  13 tcp4   *:3128                *:*
squid    squid      1050  14 udp4   *:3130                *:*
squid    squid      1050  15 tcp4   195.211.101.39:80     192.168.0.243:3749
squid    squid      1050  16 tcp4   195.211.101.39:80     192.168.0.243:3745
squid    squid      1050  17 tcp4   32.58.161.205:80      192.168.0.243:3784
squid    squid      1050  18 tcp4   194.242.102.115:63364 32.58.161.205:80
squid    squid      1050  19 tcp4   32.58.161.110:80      192.168.0.243:3786
squid    squid      1050  20 tcp4   195.211.101.39:80     192.168.0.243:3753
squid    squid      1050  21 tcp4   195.211.101.39:80     192.168.0.243:3755
squid    squid      1050  22 tcp4   195.211.101.39:80     192.168.0.243:3751
squid    squid      1050  23 tcp4   194.242.102.115:61683 32.58.161.110:80
squid    squid      1045  3  dgram  -> /var/run/log
proftpd  proftpd    888   0  tcp4   *:21                  *:*
proftpd  proftpd    888   1  dgram  -> /var/run/log
root     mpd4       687   3  dgram  -> /var/run/logpriv
root     mpd4       687   9  tcp4   194.242.102.115:1723  192.168.15.32:1229
root     mpd4       687   18 tcp4   194.242.102.115:1723  *:*
bind     named      635   3  dgram  -> /var/run/logpriv
bind     named      635   20 tcp4   192.168.0.1:53        *:*
bind     named      635   21 tcp4   127.0.0.1:953         *:*
bind     named      635   22 tcp6   ::1:953               *:*
bind     named      635   512udp4   192.168.0.1:53        *:*
root     syslogd    557   4  dgram  /var/run/log
root     syslogd    557   5  dgram  /var/run/logpriv
root     syslogd    557   6  dgram  /var/run/log
root     syslogd    557   7  dgram  /var/named/var/run/log
root     syslogd    557   8  udp6   *:514                 *:*
root     syslogd    557   9  udp4   *:514                 *:*
root     devd       449   4  stream /var/run/devd.pipe
root     natd       341   4  div4   *:8667                *:*
root     natd       339   4  div4   *:8668                *:*

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Руткит

Непрочитанное сообщение Burner » 2010-05-29 16:32:05

зачем вы тут это выложили? Убираете правила из ipfw, даете установить соединение, смотрите pid.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: Руткит

Непрочитанное сообщение Al » 2010-06-01 10:07:29

chkrootkit

Greeb
рядовой
Сообщения: 38
Зарегистрирован: 2010-02-27 2:13:27

Re: Руткит

Непрочитанное сообщение Greeb » 2010-06-04 22:52:05

Al писал(а):chkrootkit
А можно поподробней, че ето за зверь такой?

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: Руткит

Непрочитанное сообщение gloom » 2010-06-04 23:53:27

а погуглить трудно?

еще есть rkhunter
и lynis видно чтото новинькое...